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本 书 作为 计算 机 网 络 应 用 中 “网 络 设备 配置 "课程 的 配套 教材 ,十 分 
注重 学 生 实际 动手 能 力 方 面 的 培养 。 本 书 层次 分 明 , 内 容 图 文 并 茂 ,实用 
性 较 强 , 既 有 适度 的 基础 理论 知识 介绍 ,又 有 比较 详细 的 组 网 实验 操作 技 
术 讲 解 。 全 书 根据 网 络 工 程 师 的 岗位 能 力 要 求 和 学 生 的 认 知 规律 精心 组 
织 教 材 内 容 , 并 围绕 一 个 完整 项 目 展开 知识 和 技能 的 讲解 。 交 换 机 和 路 
由 器 是 计算 机 网 络 中 的 核心 设备 ,对 于 希望 今后 从 事 网 络 系统 集成 、 网 络 
管理 与 维护 等 工作 的 学 生 , 掌 握 交 换 机 和 路 由 器 的 基本 应 用 技术 十 分 
重要 。 

本 书 是 计算 机 网 络 专业 教学 资源 库 建设 项 目的 重要 成 果 之 一 ,也 是 
资源 库 课程 开发 成 果 资 源 整合 应 用 实践 的 重要 载体 。 本 书 编写 人 员 均 有 
多 年 的 项 目 工程 设计 、 实 施 和 教学 经 验 。 本 书 在 设计 上 满足 四 个 有 利 的 
原则 :有 利于 丰富 学 生 的 经 历 , 有 利于 开拓 学 生 的 视野 ,有 利于 发 展 学 生 
的 个 性 ,有 利于 学 生 的 自主 选择 ,本 书 不 但 反映 了 学 习 的 过 程 ,还 体现 了 
教育 的 价值 。 

本 书 由 多 年 负责 企业 大 数据 中 心 运 维 工 程 师 及 担任 计算 机 网 络 基础 
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职业 技术 学 院 贾 如 春 老师 担任 本 书 的 主编 并 负责 整 本 书 的 规划 及 统 稿 ， 
由 欧 洋 、 张 琦 ` 江 颖 、 胡 燕 一 起 担任 本 书 的 副 主编 。 本 书 在 编写 过 程 中 参 
考 了 大 量 书籍 和 文献 ,并 得 到 了 H3C 通信 技术 有 限 公司 的 协助 ,在 此 一 
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由 于 编写 时 间 仓 促 , 又 因为 计算 机 硬件 技术 发 展 迅 猛 ,所 以 书 中 有 不 
足 和 政 漏 之 处 在 所 难免 , 敬 请 广大 读者 批评 指正 ,以 便 再 版 时 修订 ,在 此 
表示 衷心 的 感谢 。 














编 者 
2018 ££ 4 月 


nii 


iki ANLAN earainn narn a 
1.2 VLAN ff fb A SIRE eem mmm m m] 
1.3 VLAN 的 配置 俞 令 eene eem een] 
实验 配置 VLAN "er b 


> 


2.2 ”IP 地址 的 分 类 … 
2.3 规划 IP 地 址 的 用 途 
2.4 IP 地址 的 配置 命令 …… 


3.1 trunk 简介 … €——(——— P —— ee e 
3.1.1. 什么 情况 下 使 用 trunk mmm 
3.1.2 trunk MEGA ee 
3.2.1 STP 的 操作 原理 ....................................... 10 
3.2.2 STP AIRS +... .............................. 10) 
3.2.8 RSTP 简介 eH HH] 
3.2.4. MSTP 原理 ................................................ 11 
3.2.5 STP RSA RH enn eene H 

实验 2 配置 MSTP sits 

3.3 VRRP 简介 … ` 
3.3.1 VRRP 的 工作 原理 - 










网 络 设备 配置 与 综合 实战 





3.3.4 VRRP 的 配置 命令 
实验 3 MÆ VRRP eeeeeee 
二 

3.4.3 MAD 的 配置 TTT jo 

:| iresi mrarererrr rer iiR ireak thE AE ERRANA EEA 

TTT, = E 

3.5.2 GVRP BUB qp eene eren enne 

实验 5 配置 GVRP Normal 注册 模式 See 
实验 6 BUM GVRP Fixed 注册 模式 eH] 
实验 7 NUM GVRP Forbidden 注册 模式 HMM 






4.1 PPP 简介 
4.1.1 PPP 认 证 方式 “ 
4.1.2 PPP 的 配置 命令 
实验 1 配置 PPP eeeeee4ee 
4.2 HDLC 简介 A 
4.2.2 HDLC 5 — EEN 
4.2.3 HDLC 的 配置 俞 令 Hee nennen 






5.2 erer? A E E AE A E E A 
5.2.1 IS-IS 区 域 ……… 
5.2.2 IS-IS 的 配置 命令 . 

实验 2 配置 ISIS +... 

5.3 BGP 简介 eee He eene enne nennen nennen nnne nennen een 










DO «o0 oo o Oo e £ = 


tS tS P DO D D Eë 
p o DO Pä S o CO 


N 
o 


Q9 Qo to to to tS t> [DO ec 
e e O BOON DAS 


33 


33 
33 
33 
33 
34 
36 


^ 36 
… 37 
.. 37 


39 





5.3.2 BGP 的 配置 命令 . 
实验 3 配置 IPv4 BGP 
5.4.1 RIP 两 个 版 本 的 比较 - — AD 
5.4.2 RIP 的 配置 命令 RN 42 
实验 5 配置 RIP 并 引入 外 部 路 由 - A EAE T 
5.5.1 pasti "—————— sss AT 
5.5.2 OSPF 路 由 器 类 型 eee m mnm m emen 48 
5.5.3 OSPF 的 配置 俞 令 eese 4B 
实验 6 配置 简单 的 OSPF 4 
实验 7 配置 OSPF 的 虚 连 接 EEN 52 





6.1.1 网 络 地 址 转换 的 类 型 … 
6.1.2 什么 情况 下 使 用 NAT 
6.1.3 NAT 的 配置 命令 v 
实验 1 配置 静态 NAT 
6.2 IPv6 简介 e 
6.2.1 IPv6 协议 的 特点 … ——————— ee 57 
6.3.3 Bi EMR AY BEET Ze pp ĜI. 
实验 4 配置 IPv4 路 由 引入 路 由 策略 - "——————ÓÉ (GB 
实验 5 IPv6 路 由 引入 路 由 策略 配置 . GENEE H 
6.4 策略 路 由 简介 … ———————Á— 
6.4.1 if-match a T 
6.4.2 策略 路 由 的 种 类 ………… ~ : 
实验 6 Bü m REAR CK DJ AK HSB eMe 74 










网 络 设备 配置 与 综合 实战 





THE 7 ACL 与 QoS BE ee eee cee cesses nee eeeeeeeesensees eases ees aeeees 


7.1 ACL 简介 ee 


7.2 = sur 


7.2.1 QoS 服务 模型 简介 - 


7.2.2 QoS 的 配置 方式 


E OSE 
7.2.4 QoS 的 配置 俞 令 MH HH 
实验 3 配置 QoS 部署 ee 


项 目 8 IPSec 配置 pp 


8.1 IPSec DIr: 


8.1.1 IPSec 的 安全 服务 


8. 1.2 IPSec 的 认证 和 加 密 
8.1.3 IPSec 的 优点 

8.2 IKE 简介 Ke 
8.2.1 IKE 的 安全 机 制 ， 
8.2.2 IKE 的 优点 ……… 


8. 2.3 IPSec 的 配置 命令 TTT Beh hh hh 
实验 1 采用 手动 方式 建立 保护 IPv4 报 文 的 IPSec 隧道 
实验 2 采用 IKE 方式 建立 保护 IPv4 报 文 的 IPSec 隧道 


9.1 SSH 简介 eeeeererererrrrrrrrrernrrrrrnsrssssnsrsnrnnrnrrnrnrrnernreenenensenennnnnnuneuns 


9.2 Telnet NEG 
9.2.1 Telnet 的 用 途 
9.2.3 Telnet 的 交互 过 程 
9.2.4 Telnet 的 配置 命令 
实验 2 交换 机 开启 Telnet 功能 
M 














实验 3 为 路 由 器 配置 Telnet 

9.3 SNMP 简介 ………………… 
9.3.1 SNMP 的 优势 
9.3.2 SNMP 的 基本 操作 
9.3.3 SNMP 版 本 介绍 

实验 4 路 由 器 开启 SNMP 


MUL) 10. SESIO mula dtaŭ cee ere Ce ee cee oer 


10.1 综合 基础 训练 … 


IE E 
附录 1 项 目 10 中 综合 基础 训练 部 分 的 配置 信息 Q... HARI 
WS? 项目 10 中 综合 提高 训练 部 分 的 配置 信息 pe 
BER ——————— 















mH 1 VLAN RS 


11 认识 VLAN 


VLAN(Virtual Local Area Network) 的 中 文 名 称 为 “虚拟 局 域 网 ”。 虚 拟 局 域 网 是 
一 组 逻辑 上 的 设备 和 用 户 ,这 些 设备 和 用 户 并 不 受 物理 位 置 的 限制 ,可 以 根据 功能 、 部 门 
及 应 用 等 因素 将 它们 组 织 起 来 ,相互 之 间 的 通信 就 好 像 它们 在 同一 网 段 中 一 样 ,由 此 得 名 
虚拟 局 域 网 。VLAN 是 一 种 比较 新 的 技术 ,工作 在 OSI 参考 模型 的 第 二 层 和 第 三 层 ,一 
个 VLAN 就 是 一 个 广播 域 ,VLAN 之 间 的 通信 是 通过 第 三 层 的 路 由 器 来 完成 的 。 


12 VLAN 的 优点 与 局 限 性 


1. VLAN 的 优点 


CD 端口 的 分 隔 。 即 便 在 同一 台 交 换 机 上 ,处 于 不 同 VLAN 的 端口 也 是 不 能 通信 
的 ,这 样 一 台 物 理 交 换 机 可 以 作为 多 台 逮 辑 的 交换 机 使 用 。 

(2) 网 络 的 安全 。 不 同 VLAN 不 能 直接 通信 ,杜绝 了 广播 信息 的 不 安全 性 。 

(3) 灵活 的 管理 。 更 改 用 户 所 属 的 网 络 不 必 换 端口 和 连 线 , 只 更 改 软件 配置 就 可 以 了 。 


2. VLAN 的 局 限 性 


静态 VLAN 虽说 是 可 以 使 多 个 端口 的 设置 成 一 个 虚拟 局 域 网 ,假如 两 个 不 同 端口 、 
不 同 虚拟 局 域 网 的 人 员 聚 到 一 起 协商 一 些 事情 ,这 时 候 问 题 就 出 现 了 ,因为 端口 及 虚拟 局 
域 网 的 不 一 致 往往 就 会 直接 导致 某 一 个 虚拟 局 域 网 的 人 员 不 能 正常 地 访问 他 原先 所 在 的 
VLAN( 静 态 虚拟 局 域 网 的 端口 在 同一 时 间 只 能 属于 同一 个 虚拟 局 域 网) ,这 样 就 需要 网 
络 管理 人 员 及 时 修改 该 线路 上 的 端口 。 

对 于 动态 VLAN, 只 是 在 VLAN 建立 初期 ,网 络 管理 人 员 需 将 所 有 机 器 的 MAC 进 
行 登 记 , 之 后 划分 出 MAC 所 对 应 的 机 器 的 不 同 权 限 。 


13 ” VLAN 的 配置 命令 


K 1-1 所 示 是 配置 VLAN 时 所 需 用 到 的 一 些 命令 。 
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表 1-1 VLAN 的 配置 命令 




















操作 命令 操作 说 明 
system-view 进入 系统 界面 
VLAN number 创建 VLAN, 并 进入 VLAN 配置 界面 
port number 将 端口 加 入 VLAN 中 
name** 为 VLAN 命名 
description** 为 VLAN 进行 注释 
int VLAN number 进入 VLAN 配置 界面 





实验 配置 VAN 


实验 目的 : 

。 学 会 VLAN 的 划分 。 

。 掌握 VLAN 的 命名 。 

实验 设备 ; H3C-S5820 一 台 、PC 一 台 。 
VLAN 网 络 拓扑 图 如 图 1-1 所 示 。 








S5820V2 
图 1-1 VLAN 网 络 拓扑 图 
实验 步骤 如 下 : 
<H3C> system- view // 进 入 系统 界面 
[H3C]vlan 20 // 创 建 VLAN 网 
[H3C- vlan20]port GigabitEthernet 1/0/1 // 将 端口 加 入 VLAN 20 中 


[H3C- vlan20]port GigabitEthernet 1/0/3 to GigabitEthernet 1/0/7 
// 将 第 3~7 的 端口 加 入 VLAN 20 rh 


[H3C- vlan20]name IT // 将 VLAN 命 名 为 IT 
[H3C- vlan20]description 1234567 // 注 释 VLAN 为 1234567 
实验 结果 如 下 : 


[H3C]display interface GigabitEthernet 1/0/1 brief Brief 
information on interfaces in bridge mode: Link: ADM - 
administratively down; Stby - standby 


Speed: (a) - auto 

Duplex: (a)/A -auto; H -half; F -full 

Type: A - access; T - trunk; H - hybrid 

Interface Link Speed Duplex Type PVID Description 
GE1/0/1 DOWN auto A A 20 [H3C]display 
current- configuration 





interface GigabitEthernet1/0/3 port link-mode bridge 
port access vlan 20 
combo enable copper 

# interface GigabitEthernet1/0/4 port link- mode bridge 
port access vlan 20 
combo enable copper 

# interface GigabitEthernetl/0/5 port link- mode bridge 
port access vlan 20 
combo enable copper 

# interface GigabitEthernetl/0/6 port link- mode bridge 
port access vlan 20 
combo enable copper 

# interface GigabitEthernetl/0/7 port link- mode bridge 
port access vlan 20 
combo enable copper 


an: wai] 


TAA 2 IP 地 址 规划 


21 IP 地 址 简介 


IP 地 址 是 指 互联 网 协议 地 址 (Internet Protocol Address, 又 译 为 网 际 协议 地 址 ) ,是 
IP Address 的 缩写 。IP 地 址 又 称 逻 辑 地 址 ,与 MAC( 物 理 地 址 ) 不 同 , 它 是 由 32 个 二 进 
制 数 组 成 。 每 一 个 网 络 和 每 一 台 计 算 机 都 有 一 个 IP 地 址 。 


22 Pp 地址 的 分 类 


IP 地 址 由 网 络 号 码 字 段 与 主机 号 码 字 段 组 成 。 目 前 ,IP 地 址 共 分 为 A、B、C、D\E 五 
类 ,比较 常用 的 为 A、B、C 三 类 。IP 地 址 分 类 范围 如 下 。 

A 2; 0.0.0. 0~127. 255. 255. 255 

B 3€, 128. 0. 0. 0—191. 255. 255 

C3. 192.0.0.0— 223.2 

D 3. 224.0. 0.0— 239.2 š 

EE, 240. 0. 0. 0—255. 255. 255. 2 
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aaan 





23 规划 IP Hh HE Ay FJ £ 


目前 ,IP 地 址 属于 稀有 资源 ,而 TP 地 址 规划 能 使 每 一 台 计算 机 都 分 配 有 唯一 的 IP 
地 址 ,可 节省 IP 资源 ,方便 管理 计算 机 网 络 。 另 外 ,也 可 以 在 为 公司 部 门 划分 VLAN 的 
同时 ,依据 部 门 情况 而 划分 IP 网 段 。 


24 IP 地 址 的 配置 命令 


K 2-1 所 示 是 配置 TP 地 址 时 所 需 用 到 的 一 些 命令 。 


TAA 2 IP 地 址 规划 | 





表 2-1 IP 地 址 的 配置 命令 

















操作 命令 操作 说 明 
system-view 进入 系统 界面 
int VLAN number 进入 VLAN 配置 界面 
int number 进入 端口 配置 界面 
IP address X. X. X. X X. X. X. X 配置 IP 地 址 
IP address X. X. X. X X. X. X. X sub 为 同一 个 端口 或 VLAN 配置 第 二 个 IP 地 址 





实验 IP stub BY Mx 


实验 目的 : 

。 学 会 IP 地 址 的 规划 。 

。 为 VLAN 规划 IP 网 段 。 

实验 设备 : H3C S5820 — f „H3C MSR36-20 一 台 、PC BA 


1. 用 交换 机 配置 IP 地 址 
用 交换 机 配置 IP 地 址 的 规划 拓扑 图 如 图 2-1 所 示 。 


S5820V2-54QS-GE 1 


PC | PC 2 
图 2-1 用 交换 机 配置 IP 地 址 的 规划 拓扑 图 





实验 步骤 如 下 : 

<H3C> system- view // 进 入 系统 界面 
[H3C]vlan 10 // 创 建 VLAN 网 

[H3C] interface Vlan- interface 10 // 进 入 VLAN 

[H3C- Vlan- interface10]ip address 192.16.1.2 24 // E IP Hh te 
[H3C-Vlan- interfacelO]ip address 192.16.2.2 24 sub // 设 置 第 二 个 1p Hi hk: 
实验 结果 如 下 : 


[H3C-Vlan-interfacel0]display this 
# interface Vlan- interface10 
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ip address 192.16.1.2 255.255.255.0 
ip address 192.16.2.2 255.255.255.0 sub 


2. 用 路 由 器 配置 IP 地 址 
用 路 由 器 配置 IP 地 址 的 规划 拓扑 图 如 图 2-2 所 示 。 


MSR36-20 3 


V 


PCI PC 2 
图 2-2 用 路 由 器 配置 IP 地 址 的 规划 拓扑 图 


实验 步骤 如 下 : 

<H3C> system- view // 进 入 系统 界面 
[H3C]hostname Router // 将 路 由 器 命名 为 Router 
[Router]interface Serial 2/0 // 进 入 端口 

[Router- Serial2/0]ip address 172.16.1.10 24 // 设 置 IP 地 址 


[Router]interface Serial 3/0 
[Router- Serial3/0]ip address 172.16.2.10 24 


实验 结果 如 下 : 


[Router]display current- 
configuration interface Serial2/0 

ip address 172.16.1.10 255.255.255.0 
f interface Serial3/0 

ip address 172.16.2.10 255.255.255.0 
D 
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trunk 中 文 名 称 为 “主干 线 “ 中 继 线 ”“ 长 途 线 ”"。 简 单 地 说 ,端口 如 果 配 置 为 trunk 模 
式 , 则 允许 多 个 VLAN 的 数据 通过 该 端口 , 它 为 两 端 设备 进行 转 接 ,作为 信 令 和 终端 设备 
数据 的 传输 链 路 。 


3.1.1 什么 情况 下 使 用 trunk 

当 网 络 中 划分 了 多 个 VLAN 后 ,为 了 保证 接 在 不 同 交 换 机 上 的 同一 VLAN 中 的 网 
络 设备 能 接收 和 发 送 多 个 VLAN 报 文 ,所 以 交换 机 之 间 互 联 用 的 端口 必须 设置 为 trunk. 
否则 相互 之 间 将 无 法 进行 通信 。 
3.1.2 trunk 的 配置 命令 


表 3-1 所 示 是 配置 trunk 时 所 需 用 到 的 一 些 命令 。 
表 3-1 trunk 的 配置 命令 




















操作 命令 操作 说 明 
system-view 进入 系统 界面 
int number 进入 端口 配置 界面 
port link-type trunk 设置 为 trunk 模式 
port trunk permit vlan number 设置 允许 通过 的 VLAN 
undo port trunk permit vlan number 关 掉 已 允许 通过 的 VLAN 


实验 1 使 用 trunk 


实验 目的 : 掌握 交换 机 端口 trunk 的 配置 ,使 多 个 VLAN 相互 通信 。 
实验 设备 : H3C $5820 =F. 
交换 机 trunk 端口 配置 拓扑 图 如 图 3-1 所 示 。 
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GE 0/1 GE 0/1 
GE 02 GE 02 





$2 
图 3-1 交换 机 端口 trunk 配置 拓扑 图 


实验 步骤 如 下 : 


S1]vlan 10 

[S1- vlan10]vlan 20 
S1- vlan20]vlan 30 
S1- vlan30]vlan 40 
S1- vlan40]vlan 50 
S1- vlan50]quit 


S1]interface GigabitEthernet 1/0/1 // 进 入 端口 1 
S1- GigabitEthernet1/0/1]port link- type trunk // 将 端口 设置 为 trunk 模 式 
S1- GigabitEthernet1/0/1]port trunk permit vlan 10 20 30 40 50 

// 允 许 VLAN 10~ VLAN 50 的 整 十 数据 通过 


S1- GigabitEthernet1/0/1]undo port trunk permit vlan 1 

// 关 闭 VLAN 1, 让 不 必要 的 VLAN 数 据 不 通过 
S1]interface GigabitEthernet 1/0/2 
S1- GigabitEthernet1/0/1]port link- type trunk 
S1- GigabitEthernet1/0/1]port trunk permit vlan 10 20 30 40 50 
[S1- GigabitEthernet1/0/1]undo port trunk permit vlan 1 
S2]vlan 10 
S2- vlan10]vlan 20 
[S2- v1an20]vlan 30 
S2- v1an30]vlan 40 
S2- vlan40]vlan 50 
S2- vlan50]quit 
S2]interfaceGigabitEthernetl/0/1 
S2- GigabitEthernet1/0/1]portlink- typetrunk 
S2GigabitEthernetl/0/1]port trunk permt vlan10 20 30 40 50 
S2- GigabitEthernet1/0/1]undo port trunk permit vlan 1 
S2]interface GigabitEthernet 1/0/2 
S2- GigabitEthernetl/0/1l]port link- type trunk 
S2- GigabitEthernet1/0/1]port trunk permit vlan 10 20 30 40 50 
S2- GigabitEthernetl/0/1]undo port trunk permit vlan 1 


S3]vlan 10 
S3- vlanl0]vlan 20 
S3- vlan20]vlan 30 








[S3-vlan30]vlan 40 

[S3- vlan40]vlan 50 

[S3- vlan50] quit 

[S3] interfaceGigabitEthernet1/0/1 

[S3- GigabitEthernet1/0/1]port link- type trunk 

[S3- GigabitEthernet1/0/1]port trunk permit vlan 10 20 30 40 50 
[S3- GigabitEthernet1/0/1]undo port trunk permit vlan 1 

[S3] interface GigabitEthernet 1/0/2 

[S3- GigabitEthernet1/0/1]port link- type trunk 

[S3- GigabitEthernet1/0/1]port trunk permit vlan 10 20 30 40 50 
[S3- GigabitEthernetl/0/1]undo port trunk permit vlan 1 


实验 结果 如 下 : 


[S1]display current- configuration 
interface GigabitEthernet1/0/1 port 
link-mode bridge 
port link- type trunk 
undo port trunk permit vlan 1 
port trunk permit vlan 10 20 30 40 50 
combo enable copper 
f interface GigabitEthernetl/0/2 port link- mode bridge 
port link- type trunk 
undo port trunk permit vlan 1 
port trunk permit vlan 10 20 30 40 50 
combo enable copper 
+ 
[S2]display current- configuration 
interface GigabitEthernet1/0/1 port 
link- mode bridge 
port link- type trunk 
undo port trunk permit vlan 1 
port trunk permit vlan 10 20 30 40 50 
combo enable copper 
# interface GigabitEthernet1/0/2 port link-mode bridge 
port link- type trunk 
undo port trunk permit vlan 1 
port trunk permit vlan 10 20 30 40 50 
combo enable copper 
+ 
[S3]display current- configuration 
interface GigabitEthernet1/0/1 port 
link- mode bridge 
port link- type trunk 
undo port trunk permit vlan 1 
port trunk permit vlan 10 20 30 40 50 
combo enable copper 
# interface GigabitEthernet1/0/2 port link-mode bridge 
port link- type trunk 
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undo port trunk permit vlan 1 
port trunk permit vlan 10 20 30 40 50 
combo enable copper 


32 生成 树 协议 


生成 树 协 议 (STP,Spanning Tree Protocol) 主要 是 为 了 防止 二 层 网 络 (交换 机 或 网 
桥 ) 产 生 网 络 环 路 ,避免 因 环 路 的 存在 而 造成 广播 风暴 问题 。 


3.2.1 STP 的 操作 原理 


1) 选择 根 网 桥 

选择 根 网 桥 的 依据 是 网 桥 ID, 由 优先 级 和 MAC 地 址 组 成 。 先 看 优先 级 ,优先 级 相 
同时 再 看 MAC 地 址 , 值 越 小 越 优先 选择 。 

2) 选择 根 端口 

每 一 个 非 根 网 桥 将 从 其 接口 选 出 一 个 到 根 网 桥 管理 成 本 (administrative cost) dix (fk 
的 接口 作为 根 端口 ,选择 的 依据 : 自身 到 达 根 网 桥 的 根 路 径 是 成 本 最 低 的 接口 ; @ 直 
连 网 桥 ID 最 小 ; 四 端口 ID 最 小 。 

3) 选择 指定 端口 

当 一 个 网 段 中 有 多 个 网 桥 时 ,这 些 网 桥 会 将 它们 到 根 网 桥 的 管理 成 本 都 通告 出 去 ,其 
中 具有 最 低 管理 成 本 的 网 桥 将 作为 指定 (designated) 网 桥 。 指 定 网 桥 中 发 送 最 低 管理 成 
本 的 BPDU 的 接口 是 该 网 段 中 的 指定 端口 。 在 每 段 链 路 上 ,选择 一 个 指定 端口 ,选择 的 
依据 如 下 。 

(1) 发 送 最 低 根 路 径 成 本 的 BPDU 的 接口 ; 

(2) 所 在 网 桥 ID 最 小 ; 

(3) 端口 ID 最 小 。 


3.2.2 STP 的 端口 状态 


STP 的 端口 状态 有 以 下 几 种 。 

CD 学 习 : 交换 机 端口 监听 BPDU ,并 学 习 此 交换 式 网 络 中 的 所 有 路 径 ,但 不 转发 数 
据 包 。 

(2) 监听 : 该 端口 正在 等 待 接 收 BPDU 数据 包 ,BPDU 可 能 告知 该 端口 重新 回 到 阻 
ERS. 

(3) 阻塞 : 被 阻塞 的 端口 不 能 对 数据 帧 进行 转发 ,只 监听 BPDU Wi. 

(4) 转发 : 它 会 转发 帧 ,也 会 发 送 和 接收 BPDU W. 

(5) 禁用 :该 第 二 层 端口 不 参与 生成 树 ,不 会 转发 帧 。 禁 用 状态 下 的 端口 是 不 工作 的 。 
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undo port trunk permit vlan 1 
port trunk permit vlan 10 20 30 40 50 
combo enable copper 


32 生成 树 协议 


生成 树 协 议 (STP,Spanning Tree Protocol) 主要 是 为 了 防止 二 层 网 络 (交换 机 或 网 
桥 ) 产 生 网 络 环 路 ,避免 因 环 路 的 存在 而 造成 广播 风暴 问题 。 


3.2.1 STP 的 操作 原理 


1) 选择 根 网 桥 

选择 根 网 桥 的 依据 是 网 桥 ID, 由 优先 级 和 MAC 地 址 组 成 。 先 看 优先 级 ,优先 级 相 
同时 再 看 MAC 地 址 , 值 越 小 越 优先 选择 。 

2) 选择 根 端口 

每 一 个 非 根 网 桥 将 从 其 接口 选 出 一 个 到 根 网 桥 管理 成 本 (administrative cost) dix (fk 
的 接口 作为 根 端口 ,选择 的 依据 : 自身 到 达 根 网 桥 的 根 路 径 是 成 本 最 低 的 接口 ; @ 直 
连 网 桥 ID 最 小 ; 四 端口 ID 最 小 。 

3) 选择 指定 端口 

当 一 个 网 段 中 有 多 个 网 桥 时 ,这 些 网 桥 会 将 它们 到 根 网 桥 的 管理 成 本 都 通告 出 去 ,其 
中 具有 最 低 管理 成 本 的 网 桥 将 作为 指定 (designated) 网 桥 。 指 定 网 桥 中 发 送 最 低 管理 成 
本 的 BPDU 的 接口 是 该 网 段 中 的 指定 端口 。 在 每 段 链 路 上 ,选择 一 个 指定 端口 ,选择 的 
依据 如 下 。 

(1) 发 送 最 低 根 路 径 成 本 的 BPDU 的 接口 ; 

(2) 所 在 网 桥 ID 最 小 ; 

(3) 端口 ID 最 小 。 


3.2.2 STP 的 端口 状态 


STP 的 端口 状态 有 以 下 几 种 。 

CD 学 习 : 交换 机 端口 监听 BPDU ,并 学 习 此 交换 式 网 络 中 的 所 有 路 径 ,但 不 转发 数 
据 包 。 

(2) 监听 : 该 端口 正在 等 待 接 收 BPDU 数据 包 ,BPDU 可 能 告知 该 端口 重新 回 到 阻 
ERS. 

(3) 阻塞 : 被 阻塞 的 端口 不 能 对 数据 帧 进行 转发 ,只 监听 BPDU Wi. 

(4) 转发 : 它 会 转发 帧 ,也 会 发 送 和 接收 BPDU W. 

(5) 禁用 :该 第 二 层 端口 不 参与 生成 树 ,不 会 转发 帧 。 禁 用 状态 下 的 端口 是 不 工作 的 。 
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3.2.3 RSTP 简介 


RSTP 由 IEEE 制定 的 802. 1w 标准 定义 , 它 在 STP 基础 上 进行 了 改进 ,实现 了 网 络 
拓扑 的 快速 收敛 。 其 “快速 ”体现 在 : 当 一 个 端口 被 选 为 根 端口 和 指定 端口 后 ,其 进入 转 
发 状态 的 延 时 在 某 种 条 件 下 大 大 缩短 ,从 而 缩短 了 网 络 最 终 达 到 拓扑 稳定 所 需要 的 时 间 。 


3.2.4 MSTP 原理 

MSTP 将 整个 二 层 网 络 划分 为 多 个 MST 域 ,各 个 域 之 间 通 过 计算 生成 CST; 域 内 则 
通过 计算 生成 多 棵 生成 树 ,每 棵 生成 树 都 被 称 为 是 一 个 多 生成 树 实例 。 其 中 ,实例 0 被 称 
为 IST, 其 他 多 生成 树 实例 为 MSTI。MSTP 同 STP 一 样 , 使 用 配置 消息 进行 生成 树 的 计 
算 , 只 是 配置 消息 中 携带 的 是 设备 上 MSTP 的 配置 信息 。 


3.2.5 STP 的 配置 命令 


表 3-2 所 示 是 配置 STP 时 所 需 用 到 的 一 些 命令 。 


表 3-2 STP 的 配置 命令 





























操作 命令 操作 说 明 
system-view 进入 系统 界面 
stp region-configuration 进入 MSTP 配置 界面 
region-name name 为 MSTP 配置 域名 
instance id vlan number 配置 VLAN 映射 表 
revision-level 配置 MSTP 的 修订 级 别 
active region-configuration 激活 MSTP 域 
stp instanceid root primary 设置 实例 为 主根 
stp instanceid root secondary 设置 实例 为 从 根 


实验 2 配置 MSTP 


实验 目的 : 掌握 MSTP 的 配置 ,学 会 如 何 防止 二 层 网 络 产生 网 络 环 路 。 


实验 器 材 : H3C S5820 =F. 


实验 要 求 : region-name 为 H3C。 


实例 1 对 应 VLAN 10 VLAN 20 ,实例 2 对 应 VLAN 30, VLAN 40, 
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S1 作为 实例 1 中 的 主根 ,以 及 实例 2 中 的 从 根 ;S2 作为 实例 2 中 的 主根 ,以 及 实例 1 
中 的 从 根 。 
MSTP 的 配置 拓扑 图 如 图 3-2 所 示 。 






GE 0/1 


GE 0/1 GE 0/1 
GE 02 GE 02 
s2 s3 


3-2 MSTP 的 配置 拓扑 图 









实验 步骤 如 下 : 


S1]vlan 10 

S1- vlan10]vlan 20 

S1- vlan20]vlan 30 

S1- vlan30]vlan 40 

S1- vlan40]quit 

S1]interface GigabitEthernet 1/0/1 

S1- GigabitEthernet1/0/1]port link- type trunk 

S1- GigabitEthernet1/0/1]port trunk permit vlan 10 20 30 40 


S1]stp region- configuration / alt A. MSTP 域 视 
S1-mst- region]region- name H3C // 配 置 MSTP 域 的 域名 为 H3C 


Sl-mst- region]instance 1 vlan 10 20 // 将 VLAN 10, VLAN 20 映射 到 生成 树 实例 1 上 
S1-mst- region] instance 2 vlan 30 40 // 将 VLAN 30.VLAN 40 映射 到 生成 树 实例 2 上 
S1-mst- region]active region- configuration // 激 活 MSTP 域 

S1-mst- region]quit 


S1]stp instance 1 root primary // 设 置 实例 1 为 主根 
S1]stp instance 2 root secondary // 设 置 实例 2 为 从 根 
S2]vlan 10 


S2- vlan10]vlan 20 

S2- v1an20]vlan 30 

S2- v1an30]vlan 40 

S2- vlan40]quit 

S2]interface GigabitEthernet 1/0/1 

S2- GigabitEthernet1/0/1]port link- type trunk 
S2- GigabitEthernet1/0/1]port trunk permit vlan 10 20 30 40 
S2]stp region- configuration 

S2- mst- region]region- name H3C 

S2- mst- region] instance 1 vlan 10 20 

S2- mst- region] instance 2 vlan 30 40 


S2- mst- region]active region- configuration 





S2-mst- region]quit 
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[S2] stp instance 1 root secondary // 设 置 实例 1 为 从 根 
[S2] stp instance 2 root primary // 设 置 实例 2 为 主根 


实验 结果 如 下 : 


[S1]display stp brief 

MST ID Port Role STP State Protection 
0 GigabitEthernetl/0/1 DESI FORWARDING NONE 

0 GigabitEthernet1/0/2 DESI FORWARDING NONE 

1 GigabitEthernet1/0/1 DESI FORWARDING NONE 

2 GigabitEthernetl/0/1 ROOT FORWARDING NONE 


[S2]display stp brief 

MST ID Port Role STP State Protection 
GigabitEthernetl/0/1 ROOT FORWARDING NONE 
GigabitEthernet1/0/2 DESI FORWARDING NONE 
GigabitEthernetl/0/1 ROOT FORWARDING NONE 
GigabitEthernetl/0/1 DESI FORWARDING NONE 


s PP °. 


33 VRRP Si 7 


VRRP 是 Virtual Router Redundancy Protocol 的 缩写 , 译 为 虚拟 路 由 完 余 协议 ,是 
一 种 容错 协议 。 它 通过 把 几 台 路 由 设备 联合 组 成 一 台 虚 拟 的 路 由 设备 ,并 通过 一 定 的 机 
制 来 保证 当主 机 的 下 一 跳 设 备 出 现 故障 时 ,可 以 及 时 将 业务 切换 到 其 他 设备 ,从 而 保持 通 
信和 的 连续 性 和 可 靠 性 。 主 要 是 解决 局 域 网 主机 访问 外 部 网 络 的 问题 。VRRP 包括 
VRRPv2 fll VRRPv3 两 个 版 本 , VRRPv2 版 本 只 支持 IPv4 VRRP, VRRPv3 版 本 支持 
IPv4 VRRP 和 IPv6 VRRP. 


3.3.1 VRRP 的 工作 原理 


一 台 VRRP 路 由 器 有 唯一 的 标识 为 VRID, 其 范围 为 0 一 255。 该 路 由 器 对 外 表现 为 
唯一 的 虚拟 MAC 地 址 。 路 由 器 开启 VRRP 功能 后 ,会 根据 优先 级 确定 自己 在 备份 组 中 
的 角色 。 优 先 级 高 的 路 由 器 称 为 主 路 由 器 ,优先 级 低 的 路 由 器 称 为 备份 路 由 器 。 当 两 台 
优先 级 相同 的 路 由 器 同时 竞争 Master 时 ,比较 接口 IP 地 址 的 大 小 。 接 口 地 址 大 者 当选 
为 Master, 其 他 路 由 器 作为 备份 路 由 器 ,随时 监听 Master 的 状态 。 


3.3.2 VRRP 的 状态 


VRRP 协议 中 定义 了 三 种 状态 机 : 初始 状态 (Initialize) ,活动 状态 (Master) 、 备 份 状 

态 (Backup)。 其 中 ,只 有 处 于 活动 状态 的 设备 才 可 以 转发 那些 发 送 到 虚拟 IP 地 址 的 
报 文 。 
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3.3.3 VRRP 监视 功能 


1. 监视 指定 接口 


VRRP 的 监视 指定 接口 功能 更 好 地 扩充 了 备份 功能 : 不 仅 能 在 备份 组 中 某 路 由 器 的 
接口 出 现 故障 时 提供 备份 功能 ,还 能 在 路 由 器 的 其 他 接口 (如 连接 上 行 链 路 的 接口 ) 不 可 
用 时 提供 备份 功能 。 

路 由 器 连接 上 行 链 路 的 接口 出 现 故 障 时 ,备份 组 无 法 感知 上 行 链 路 接口 的 故障 ,如 果 
该 路 由 器 此 时 处 于 Master 状态 ,将 会 导致 局 域 网 内 的 主机 无 法 访问 外 部 网 络 。 通 过 监视 
指定 接口 的 功能 ,可 以 解决 该 问题 。 当 连接 上 行 链 路 的 接口 处 于 Down 或 Removed 状态 
时 ,路 由 器 主动 降低 自己 的 优先 级 ,使 得 备份 组 内 其 他 路 由 器 的 优先 级 高 于 这 人 台 路 由 器 ， 
以 便 优先 级 最 高 的 路 由 器 成 为 Master, 承 担 转发 任务 。 

2. 监视 Track 项 

通过 VRRP 监视 Track 项 功能 ,可 以 根据 上 行 链 路 的 状态 ,改变 路 由 器 的 优先 级 。 
当 上 行 链 路 出 现 故障 ,局 域 网 内 的 主机 无 法 通过 路 由 器 访问 外 部 网 络 时 ,被 监视 Track 项 
的 状态 为 Negative, 并 将 路 由 器 的 优先 级 降低 指定 的 数额 。 从 而 使 得 备份 组 内 其 他 路 由 
器 的 优先 级 高 于 这 人 台 路 由 器 的 优先 级 ,成 为 Master 路 由 器 ,保证 局 域 网 内 主机 与 外 部 网 
络 的 通信 不 会 中 断 。 

在 Backup 路 由 器 上 监视 Master 路 由 器 的 状态 。 当 Master 路 由 器 出 现 故 障 时 ,工作 
在 切换 模式 的 Backup 路 由 器 能 够 迅速 成 为 Master 路 由 器 ,以 保证 通信 不 会 中 断 。 


3.3.4 VRRP 的 配置 命令 


表 3-3 所 示 是 配置 VRRP 时 所 需 用 到 的 一 些 命令 。 
表 3-3 VRRP 的 配置 命令 




















操作 命令 操作 说 明 
system-view 进入 系统 界面 
int VLAN number 进入 VLAN 配置 界面 
IP address X. X. X. X X. X. X. X 配置 VLAN 的 实际 IP 地 址 
VRRP vrid id virtual-ip X. X. X. X 配置 备份 组 ID 的 虚拟 IP 地 址 
VRRP vrid id priority number 配置 备份 组 ID 的 优先 级 


实验 3 配置 VRRP 


实验 目的 : 学 会 解决 网 关 宛 余 的 问题 。 
实验 器 材 : H3C S5820 两 台 。 
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实验 要 求 : 

S1 作为 VLAN 21 内 主机 的 实际 网 关 ,S2 作为 VLAN 31 内 主机 的 实际 网 关 。 其 中 ， 
各 VRRP 组 中 高 优先 级 设置 为 150, 低 优先 级 设置 为 120。 

Tm. 为 让 同学 们 更 加 清晰 地 了 解 VRRP 的 配置 ,以 下 实验 特地 加 了 VLAN 11 与 
VLAN 31, 但 不 将 端口 加 入 这 两 个 VLAN A F. 

实验 拓扑 : VRRP 的 配置 拓扑 图 如 图 3-3 所 示 。 





GE on ges 
GE 0/2 


GE 0/1 
Y 


SI 


实验 步骤 如 下 : 


[S1]vlan 11 
S1-vlanll]vlan 21 
S1- vlan?1]vlan 31 
S1- vlan3l]vlan 41 
S1]vlan 21 


S1- vlan21]vlan 31 


S1]int vlan 11 

S1- Vlan- interfacell 

S1- Vlan- interfacell 
// 设 置 VRRP 备 份 组 号 

[S1- Vlan- interfacell 
// 设 置 VRRP 备 份 组 号 

Sl-Vlan- interfacell 

S1- Vlan- interface21 


S1- Vlan- interface21 
// 设 置 VRRP 备 份 组 号 
S1- Vlan- interface21 
// 设 置 VRRP 备 份 组 号 
S1]int vlan 31 
S1- Vlan- interface31 
[S1- Vlan- interface31 
S1- Vlan- interface31 
// 设 置 VRRP 备 份 组 号 
S1- Vlan- interface31 
S1- Vlan- interface41 
S1- Vlan- interface41 
S1- Vlan- interface41 


// 设 置 VRRP 备 份 组 号 





[S2]vlan 11 
S2- vlanll]vlan 21 





GE 02 


图 3-3 VRRP 的 配置 拓扑 图 


S1- vlan21]port GigabitEthernet 1/0/1 


S1- vlan31]port GigabitEthernet 1/0/2 


ip add 10.10.10.253 24 
vrrp vrid 10 virtual- ip 10.10.10.254 
为 10, B. VRRP HE TP, IP 为 10.10.10.254 
vrrp vrid 10 priority 150 

10 的 优先 级 为 150 

int vlan 21 

ip address 10.10.20.253 24 


// 配 置 VLAN 21 的 实际 IP 地 址 


vrrp vrid 20 virtual- ip 10.10.20.254 
为 20, B. VRRP HEP, IP 28 10.10.20.254 
vrrp vrid 20 priority 150 

20 的 优先 级 为 150 


ip address 10.10.30.253 24 

vrrp vrid 30 virtual- ip 10.10.30.254 
vrrp vrid 30 priority 120 

30 的 优先 级 为 120 

int vlan 41 

ip address 10.10.40.253 24 

vrrp vrid 40 virtual- ip 10.10.40.254 
vrrp vrid 40 priority 120 

40 的 优先 级 为 120 


S2 


// 配 置 VLAN 11 的 实际 IP 地 址 
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[S2-vlan21]vlan 31 
[S2- vlan31]vlan 41 
[S2]vlan 21 


[S2- vlan21]port GigabitEthernet 1/0/1 


[S2- vlan21]vlan 31 


[S2- vlan31] port GigabitEthernet 1/0/2 


[S2]int vlan 11 
[S2- Vlan- interfacell 
[S2- Vlan- interfacell 
[S2- Vlan- interface11 
// 设 置 VRRP 备份 组 号 
[S2- Vlan- interfacell 
[S2- Vlan- interface21 
[S2- Vlan- interface21 
[S2- Vlan- interface21 


ip add 10.10.10.252 24 

vrrp vrid 10 virtual- ip 10.10.10.254 
vrrp vrid 10 priority 120 

10 的 优先 级 为 120 

int vlan 21 

ip address 10.10.20.252 2. 

vrrp vrid 20 virtual- ip 10.10.20.254 
vrrp vrid 20 priority 120 


// 设 置 VRRP 备 份 组 号 20 的 优先 级 为 120 


[S2]int vlan 31 

[S2-Vlan- interface31 
[S2- Vlan- interface31 
[S2- Vlan- interface31 


ip address 10.10.30.252 24 
vrrp vrid 30 virtual- ip 10.10.30.254 
vrrp vrid 30 priority 150 


// 设 置 VRRP 备 份 组 号 30 的 优先 级 为 150 


[S2- Vlan- interface31 
[S2- Vlan- interface41 
[S2- Vlan- interface41 





[S2- Vlan- interface41 


int vlan 41 

ip address 10.10.40.252 24 

vrrp vrid 40 virtual- ip 10.10.40.254 
vrrp vrid 40 priority 150 


// 设 置 VRRP 备 份 组 号 40 的 优先 级 为 150 


实验 结果 如 下 : 
(1) 


[S1]display vrrp verbose 
IPv4 Virtual Router Information: 
Running mode : Standard 


Total number of virtual routers : 


Interface Vlan- interfacell 


VRID 

Admin Status 
Config Pri 
Preempt Mode 
Auth Type 
Virtual IP 
Master IP 


Interface Vlan- 
VRID 

Admin Status 
Config Pri 
Preempt Mode 
Auth Type 
Virtual IP 
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4 
: 10 Adver Timer : 100 
: Up State : Initialize 
: 150 Running Pri : 150 
: Yes Delay Time 20 
: None 
: 10.10.10.254 
: 0.0.0.0 
interface21 
: 20Adver Timer 100 
: Up State : Master 
: 150 Running Pri : 150 
: Yes Delay Time 20 
: None 
: 10.10.20.254 





sp: memen 


Virtual MAC : 0000- 5e00- 0114 
Master IP : 10.10.20.253 


Interface Vlan- interface3l 


VRID : 30 Adver Timer : 100 
Admin Status : Up State : Backup 
Config Pri : 120 Running Pri : 120 
Preempt Mode : Yes Delay Time $0 
Become Master : 3400ms left 

Auth Type : None 

Virtual IP : 10.10.30.254 

Master IP : 10.10.30.252 


Interface Vlan- interface41 


VRID : 40 Adver Timer : 100 
Admin Status : Up State : Initialize 
Config Pri £120; Running Pri : 120 
Preempt Mode : Yes Delay Time :0 
Auth Type : None 
Virtual IP : 10.10.40.254 
Master IP : 0.0.0.0 
(2) 
[S2]display vrrp verbose 


IPv4 Virtual Router Information: 
Running mode: Standard 
Total number of virtual routers: 4 
Interface Vlan- interfacell 


VRID : 10 Adver Timer : 100 

Admin Status : Up State : Initialize 
Config Pri : 120 Running Pri : 120 
Preempt Mode : Yes Delay Time SH 

Auth Type : None 

Virtual IP : 10.10.10.254 

Master IP : 0.0.0.0 


Interface Vlan- interface21 


VRID : 20 Adver Timer : 100 
Admin Status :Up State : Backup 
Config Pri : 120 Running Pri : 120 
Preempt Mode : Yes Delay Time 20 
Become Master : 3340ms left 

Auth Type : None 

Virtual IP : 10.10.20.254 

Master IP : 10.10.20.253 


Interface Vlan- interface31 
VRID : 30 Adver Timer : 100 
Admin Status : Up State : Master 


17 


网 络 设备 配置 与 综合 实战 





Config Pri : 150 Running Pri : 150 
Preempt Mode : Yes Delay Time SH 
Auth Type : None 

Virtual IP z 10.10.30.254 

Virtual MAC : 0000- 5e00- 011e 

Master IP : 10.10.30.252 


Interface Vlan- interface4l 


VRID : 40 Adver Timer : 100 

Admin Status : Up State : Initialize 
Config Pri : 150 Running Pri : 150 
Preempt Mode : Yes Delay Time 70 

Auth Type : None 

Virtual IP : 10.10.40.254 

Master IP : 0.0.0.0 


34 IRF 简介 


IRF Æ Intelligent Resilient Framework 的 缩写 ,意思 为 智能 弹性 架构 , 它 通过 一 些 
配置 ,将 多 台 连 接 在 一 起 的 设备 虚拟 化 成 一 台 “ 设 备 ”。 使 用 这 种 技术 ,有 利于 用 户 的 管理 
与 维护 。 


3.4.1 IRF 的 工作 原理 


IRF 要 正常 工作 , 需 先 在 成 员 设备 间 通 过 IRF 物理 连接 端口 进行 物理 连接 ,再 在 设 
备 上 设置 成 员 编号 并 进行 成 员 选 举 。 通 常情 况 下 ,优先 级 最 大 的 作为 Master( 主 设备 )， 
其 他 的 作为 Slave( 从 设备 ) 。 若 未 设 定 优先 级 , 则 自动 选举 Master X Slave, 


3.4.2 IRF 的 访问 


1. 访问 Master 


IRF 的 访问 方式 如 下 。 

本 地 登录 : 通过 任意 成 员 设备 的 AUX 或 者 Console HER. 

远程 登录 : 给 任意 成 员 设 备 的 任意 三 层 接口 配置 IP 地 址 ,并 且 路 由 可 达 , 就 可 以 通 
过 Telnet, Web, SNMP 等 方式 进行 远程 登录 。 


2. 访问 Slave 


用 户 访问 IRF 时 ,实际 访问 的 是 IRF 中 的 Master 设备 ,访问 终端 的 操作 界面 显示 的 
是 Master 设备 的 控制 台 。 需 要 重 定向 到 Slave 设备 ,才能 登录 到 Slave 设备 。 

不 管 使 用 哪 种 方式 登录 IRF ,实际 上 登录 的 都 是 Master, Master 是 IRF 系统 的 配置 
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和 控制 中 心 ,在 Master 上 配置 后 ,Master 会 将 相关 配置 同步 给 Slave, 以 便 保证 Master 


和 Slave 配置 的 一 致 性 。 


3.4.3 MAD 的 配置 


MAD 检测 分 为 BFD MAD 检测 和 LACP MAD 检测 。 其 中 ,BFD MAD 检测 方式 可 
以 在 直 连 设备 间 实 现 , 也 可 以 使 用 中 间 设 备 来 进行 检测 ,而 LACP MAD 检测 方式 必须 使 


用 中 间 设 备 。 


LACP MAD 检测 配置 如 下 : 


interface bridge- aggregation 
link- aggregation mode dynamic 
mad enable 

功能 Interface 

port link- aggregation group 


BFD MAD 检测 配置 如 下 : 


vlan 

MAD 检测 Interface 

Port number 

interface vlan- interface 
mad bfd enable 

mad ip address 


// 进 入 二 层 聚 合 端口 视图 

// 配 置 聚合 组 工作 模式 为 动态 聚合 模式 
// 开 启 LACP MAD 检测 

// 进 入 端口 

// 将 以 太 网 端口 加 入 聚合 


// 创 建 一 个 新 VLAN 并 专用 于 BED 
// 进 入 端口 

// 在 VIAN 下 加 入 端口 

// 进 入 VLAN 网 

// 开 启 BED MAD 检 测 

// 给 指定 成 员 设 备 配 置 MAD IP 地址 


3.4.4 IRF 的 配置 命令 


K 3-4 所 示 是 配置 IRF 时 所 需 用 到 的 一 些 命令 。 


表 3-4 IRF 的 配置 命令 
































操作 命令 操作 说 明 
system-view 进入 系统 界面 
interface Ten-GigabitEthernet number 进入 IRF 物理 端口 
shutdown 关闭 端口 
irf member number renumber number 设置 成 员 编号 
irf-port number/number 创建 IRF 端口 
port group interface Ten-GigabitEthernet number 将 IRF 物理 端口 加 入 IRF 端口 
irf domain number 配置 IRF 域 的 编号 
irf member numberpriority number 为 成 员 设置 优先 级 
irf-port-configuration active 激活 IRF 域 
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实验 4 配置 IRF 


实验 目的 : 学 会 IRF 的 配置 ,知道 如 何 简便 地 管理 网 络 。 

实验 器 材 : H3C S5820 两 台 , Ten-GigabitEthernet 一 条 。 

(1) JÉ HE .IRF Domain 值 为 10。 

(2) SI 为 IRF 中 的 主 设备 ,优先 级 值 为 10。 

(3) MAD 所 使 用 的 端口 为 交换 机 的 第 23 个 端口 ,检测 IP 为 100. 0. 0. 1/30(member 1) 


和 100. 0. 0. 2/30(member 2) ,检测 VLAN 为 1000;Sysname 名 称 为 HQ-IRF, 
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IRF 的 配置 拓扑 图 如 图 3-4 所 示 。 


Gi XGE 0/49 XGE 0/49 


si s2 
图 3-4 IRF 的 配置 拓扑 图 








实验 步 又 如 下 : 
(1) 先 在 S5820V2_1 上 配置 。 


H3C]hostname HQ- IRF 
HQ- IRF]interface Ten- GigabitEthernet 1/0/49 


HQ- IRF- Ten- GigabitEthernet1/0/49]shut // 将 端口 关闭 
[HQ- IRF- Ten- GigabitEthernetl/0/49]quit 
HQ- IRF]irf-port 1/2 // 创 建 TRE 端口 


HQ- IRF- irf- portl/2]port group interface Ten- GigabitEthernet 1/0/49 
// 将 物理 端口 Ten- GigabitEthernet1/0/49 Jill A. IRF 端 口中 

HQ- IRF- irf- port1/2]quit 

HQ- IRF] interface Ten- GigabitEthernet 1/0/49 

HQ-IRF-Ten-GigabitEthernetl/0/49]undo shutdown ”// 开 启 端 口 

HQ- IRF- Ten- GigabitEthernet1/0/49]quit 


HỌ- IRF]irf domain 10 // 配 置 IRF 域 的 编号 
HQ- IRF]irf member 1 priority 10 // 配 置 优先 级 
HQ- IRF]irf-port- configuration active // 激 活 IRF fE S5820 


(2) 在 S5820V2 2 上 配置 。 


H3C]hostname HQ- IRF 


HQ- IRF]irf member 1 renumber 2 // 将 设备 的 成 员 编 号 修改 为 2 
HQ- IRF]quit 
< HQ- IRE» reboot // 重 启 ,让 成 员 编号 生效 





HỌ- IRF]interface Ten- GigabitEthernet 2/0/49 
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[HQ- IRF- Ten- GigabitEthernet2/0/49]shutdown 

[HQ- IRF]irf-port 2/1 // 创 建 IRF 端口 

[HQ- IRF- irf- port2/1]port group interface Ten- GigabitEthernet 2/0/49 

[HQ- IRF- irf-port2/1]quit 

[HQ- IRF] interface Ten- GigabitEthernet 2/0/49 

[HQ- IRF- Ten- GigabitEthernet2/0/49]undo shutdown 

[HO- IRF] save // 保 存 数据 ,以 免 重启 系统 时 数据 丢失 
[HQ- IRF]irf- port- configuration active // 激 活 IRF 


(3) 配置 BFD MAD 检测 。 


[HQ- IRF]v1an 1000 
[HQ- IRF- vlan1000]quit 

[HQ- IRF]interface Vlan- interface 1000 

[HQ- IRF- Vlan- interface1000]mad bfd enable // 开 启 BED MAD 检测 

[HQ- IRF- Vlan- interface1000]mad ip address 100.0.0.1 30 member 1 // 设 置 检测 IP 
[HQ- IRF- Vlan- interface1000]mad ip address 100.0.0.2 30 member 2 

[HQ- IRF]vlan 1000 


[HQ- IRF- vlan1000]port GigabitEthernet 1/0/23 // 加 入 端口 
实验 结果 如 下 : 
[HQ- IRF]display irf 
MemberID Role Priority CPU- Mac Description 
*1 Master 10 ac51- c2d9- 0104 == 
* 2 Standby 1 ac41- 4bbf- 0204 E 


* indicates the device is the master. 


+ indicates the device through which the user logs in. 


The bridge MAC of the IRF is : ac51- c2d9- 0100 


Auto upgrade : yes 
Mac persistent : 6min 
Domain ID : 10 


[HQ- IRF]display mad verbose Multi- active 

recovery state : No Excluded ports (user- configured) 
: Excluded ports (system- configured) 
: Ten- GigabitEthernet1/0/49 

Ten- GigabitEthernet2/0/49 

MAD ARP disabled. MAD ND disabled. MAD LACP disabled. 

MAD BFD enabled interface : Vlan- interfacel000 


MAD status : Faulty 

Member ID MAD IP address Neighbor MAD status 
1 100.0.0.1/30 2 Faulty 
2 100.0.0.2/30 1 Faulty 
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35 GVRP 简介 


GARP(Generic Attribute Registration Protocol, 通 用 属性 注册 协议 ) 作 为 一 个 属性 
注册 协议 的 载体 ,可 以 用 来 传播 属性 。 遵 循 GARP 的 应 用 实体 称 为 GARP 应 用 。 

GVRP(GARP VLAN Registration Protocol,GARP VLAN 注册 协议 ) 就 是 GARP 
的 应 用 之 一 ,用 于 注册 和 注销 VLAN 属性 。 


3.5.1 GVRP 的 注册 模式 


GVRP 有 三 种 注册 模式 ,不 同 注册 模式 对 静态 VLAN 和 动态 VLAN 的 处 理 方式 也 
不 同 。 我 们 将 通过 手动 创建 的 VLAN, 称 为 静态 VLAN ,通过 GVRP 创建 的 VLAN, Er 
为 动态 VLAN, 

CD Normal 模式 。 该 模式 下 的 端口 允许 进行 动态 VLAN 的 注册 或 注销 ,并 允许 发 
送 动态 和 静态 VLAN 的 声明 。 

(2) Fixed 模式 。 该 模式 下 的 端口 禁止 进行 动态 VLAN 的 注册 或 注销 , 且 只 允许 发 
送 静 态 VLAN 的 声明 。 也 就 是 说 ,该 模式 下 的 Trunk 端口 即使 允许 所 有 VLAN 通过 , 实 
际 通过 的 VLAN 也 只 能 是 手动 创建 的 那 部 分 VLAN, 

(3) Forbidden 模式 。 该 模式 下 的 端口 禁止 进行 动态 VLAN 的 注册 或 注销 , 且 只 多 
许 发 送 VLAN 1 的 声明 。 也 就 是 说 ,该 模式 下 的 Trunk 端口 即使 允许 所 有 VLAN 通过 ， 
实际 通过 的 VLAN 也 只 能 是 VLAN 1。 


3.5.2 GVRP 的 配置 命令 


K 3-5 所 示 是 配置 GVRP 时 所 需 用 到 的 一 些 命令 。 
表 3-5 GVRP 的 配置 命令 




















操作 命令 操作 说 明 
system-view 进入 系统 界面 
int number 进入 端口 
gvrp 为 端口 开启 GVRP 
gvrp registration fixed 设置 端口 模式 为 Fixed 
gvrp registration forbidden 设置 端口 模式 为 Forbidden 


实验 5 配置 GVRP Nomal 注册 模式 


实验 目的 : 掌握 Normal 的 注册 模式 ,知道 如 何 实现 交换 机 之 间 VLAN 的 注册 和 
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实验 器 材 : H3C S5800 MA. 

实验 要 求 : 配置 GVRP 的 注册 模式 为 Normal, XA S1 和 S2 之 间 所 有 动态 与 静态 
VLAN 的 注册 和 注销 。 

GVRP Normal 的 配置 拓扑 图 如 图 3-5 所 示 。 


Déi GE 0/1 GE 0/1 Déi 


SI S2 
图 3-5 GVRP Normal 的 配置 拓扑 图 





实验 步骤 如 下 : 


S1]GVRP // 全 局 模式 下 开启 GVRP 功能 
S1]interface GigabitEthernet 1/0/1 
S1-GigabitEthernetl/0/l]port link- type trunk 

S1- GigabitEthernet1/0/1]port trunk permit vlan all 
S1-GigabitEthernetl/0/1]gvrp // 为 端口 开启 GVRP 
S1-GigabitEthernetl/0/1]quit 

S1]vlan 10 

S1- vlanl0]quit 

S2]gvrp 

S2]interface GigabitEthernet 1/0/1 
S2GigabitEthernet1/0/1port link- type trunk 
S2GigabitEthernet1/0/1]port trunk permit vlan all 
S2GigabitEthernet1/0/1]gvrp 

S2- GigabitEthernet1/0/1]quit 

S2]vlan 20 

S2- v1an20]quit 


实验 结果 如 下 : 





S1]display gvrp local- vlan 

interface GigabitEthernet 1/0/1 

Following VLANs exist in GVRP local database: 
l(default), 10, 20, 


[S2]display gvrp local- vlan interface GigabitEthernet 1/0/1 
Following VLANs exist in GVRP local database: 
l(default), 10, 20, 


实验 6 配置 GVRP Fixed 注册 模式 


实验 目的 : 掌握 Fixed 的 注册 模式 ,知道 如 何 实现 交换 机 之 间 VLAN 的 注册 和 

实验 器 材 : H3C S5800 两 台 。 

实验 要 求 : 配置 GVRP 的 注册 模式 为 Fixed, 实 现 SI 和 S2 之 间 所 有 静态 VLAN 的 
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注册 和 注销 。 
GVRP Fixed 的 配置 拓扑 图 如 图 3-6 所 示 o 


o GE 0/1 GE 0/1 Déi 


si s2 
图 3-6 GVRP Fixed 的 配置 拓扑 图 





实验 步骤 如 下 ; 


S1]GVRP // 全 局 模式 下 开启 GVRP 功能 
Sl]interface GigabitEthernet 1/0/1 

S1- GigabitEthernet1/0/1]port link- type trunk 

S1- GigabitEthernet1/0/1]port trunk permit vlan a11 

S1- GigabitEthernet1/0/1]gvrp // 为 端口 开启 GVRP 

S1- GigabitEthernet1/0/1]gvrp registration fixed // 设 置 端口 模式 为 Fixed 
S1- GigabitEthernet1/0/1]quit 

S1]vlan 10 

S1- vlanl0]quit 

S2]gvrp 

S2]interface GigabitEthernet 1/0/1 

S2- GigabitEthernet1/0/1]port link- type trunk 

S2- GigabitEthernetl/0/1]port trunk permit vlan all 

S2- GigabitEthernetl/0/1]gvrp 

S2- GigabitEthernetl/0/1]gvrp registration fixed 

S2- GigabitEthernet1/0/1]quit 

S2]vlan 20 

S2- vlan20] quit 


实验 结果 如 下 : 


S1]display gvrp local- vlan interface GigabitEthernet 1/0/1 
Following VLANs exist in GVRP local database: 
l(default), 10, 





S2]display gvrp local- vlan interface GigabitEthernet 1/0/1 
Following VLANs exist in GVRP local database: 
l(default), 20, 


实验 7 配置 GVRP Forbidden 注册 模式 


实验 目的 : 掌握 GVRP Forbidden 的 配置 方法 。 

实验 器 材 : H3C S5800 两 台 。 

实验 要 求 : 配置 GVRP 的 注册 模式 为 Forbidden, 来 阻止 S1 和 S2 之 间 除 VLAN 1 
以 外 所 有 VLAN 的 注册 和 注销 。 

GVRP Forbidden 的 配置 拓扑 图 如 图 3-7 所 示 。 
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图 3-7 GVRP Forbidden 的 配置 拓扑 图 


实验 步骤 如 下 : 


S1]GVRP // 全 局 模式 下 开启 GVRP 功能 
[S1]interface GigabitEthernet 1/0/1 
Sl- GigabitEthernet1/0/1]port link- type trunk 
S1- GigabitEthernet1/0/1]port trunk permit vlan all 
S1-GigabitEthernetl/0/1]gvrp // 为 端口 开启 GVRP 
S1- GigabitEthernet1/0/1]gvrp registration forbidden 
// 设 置 端 口 模式 为 Forbidden 
S1-GigabitEthernetl/0/1]quit 
S1]vlan 10 
S1- vlanl0]quit 
S2]gvrp 
S2]interface GigabitEthernet 1/0/1 
S2- GigabitEthernet1/0/1]port link- type trunk 
S2- GigabitEthernetl/0/1]port trunk permit vlan all 
S2- GigabitEthernetl/0/1]gvrp 
S2- GigabitEthernetl/0/1]gvrp registration forbidden 
S2- GigabitEthernetl/0/1]quit 
S2]vlan 20 
S2- vlan20] quit 


实验 结果 如 下 : 


S1]display gvrp local- vlan interface GigabitEthernet 1/0/1 
Following VLANs exist in GVRP local database: 
1 (default) 





S2]display gvrp local- vlan interface GigabitEthernet 1/0/1 
Following VLANs exist in GVRP local database: 
1(default) 
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41 PP + 


PPP(Point to Point Protocol, 点 对 点 协议 ) 是 一 种 用 来 同步 调制 连接 的 数据 链 路 层 协 
议 。 它 能 够 提供 用 户 认证 和 支持 同步 串 行 介质 和 异步 串 行 介质 ,并 且 PPP 还 使 用 了 链 路 控 
制 协议 (Link Control Protocol,LCP) 和 网 络 控制 协议 (Network Control Protocol, NCP)。 


4.1.1 PPP 认证 方式 


为 保证 链 路 上 的 安全 ,PPP 提供 了 在 其 链 路 上 进行 安全 认证 的 手段 ,使 得 在 PPP GE 
路 上 实施 AAACAuthentication Authorization „Accounting ,认证 ,授权 和 记 账 ) 协 议 变 得 
切实 可 行 。 PPP 有 两 种 认证 方式 ,一 种 是 PAP(Password Authentication Protocol, 密 码 
认证 协议 ) 认 证 ; 另 一 种 是 CHAP(Challenge Handshake Authentication Protocol, 询 问 握 
手 认证 协议 ) 认 证 。PAP 为 两 次 握手 协议 , 它 通 过 用 户 名 和 密码 来 对 用 户 进行 认证 。 
CHAP 为 三 次 握手 协议 , 它 分 为 认证 方 配置 了 用 户 名 和 认证 方 没有 配置 用 户 名 两 种 情 
况 。PAP 在 传输 用 户 名 和 密码 时 用 明文 ,而 CHAP 在 传输 过 程 中 不 传输 密码 ,只 传输 用 
户 名 ,所 以 ,CHAP 的 安全 性 会 比 PAP 的 安全 性 高 。 


4.1.2 PPP 的 配置 命令 


K 4-1 所 示 是 配置 PPP 时 所 需 用 到 的 一 些 命令 。 
表 4-1 PPP 的 配置 命令 




















操作 命令 操作 说 明 
system-view 进入 系统 界面 
int serial number 进入 串 行 口 
ppp authentication-mode chap 设置 验证 方式 为 CHAP 
ppp chap user name 设置 用 户 名 
ppp chap password simple number 设置 明文 密码 
ppp chap password cipher number 设置 密 文 密码 








项 目 4 ae | 


实验 1 配置 PPP 


实验 目的 : 学 会 PPP 的 配置 ,掌握 CHAP 的 认证 方式 。 
实验 器 材 : H3C MSR36-20 两 台 。 

实验 要 求 : 

。 使 用 CHAP 认证 。 

* 用 户 名 和 密码 均 为 123456. 

PPP 的 配置 及 CHAP 的 认证 拓扑 图 如 图 4-1 所 示 。 


ER 192.168.1.1/24 192.168.1.2/24 
E ser 110 Ser 1⁄0 |Ë 
MSR36-20 1 MSR36-20 2 
图 4-1 PPP 的 配置 及 CHAP 的 认证 拓扑 图 





实验 步骤 如 下 : 


Rl]interface Serial 1/0 
Rl- Seriall/0]ip address 192.168.1.1 24 


R1]local- user 123456 class network // 创 建 本 地 账号 123456 
Rl-luser-network-123456]password simple 123456 // 设 置 本 地 密码 为 123456 
R1- luser- network- 123456] service- type ppp // 设 置 本 地 用 户 的 服务 类 型 为 PPP 


Rl- luser- network- 123456]quit 

[R1] domain system 

Rl- isp- system] authentication ppp local 

Rl- isp- system] quit 

Rl]interface Serial 1/0 

Rl- Seriall/0]ppp authentication- mode chap domain system 
// 设 置 Rl 的 本 地 认证 方式 为 CHAP 

R1- Seria11/0]ppp chap user 123456 
// 设 置 采用 CHAP 时 RI 的 用 户 名 为 123456 

[R1- Seriall/0]ppp chap password simple 123456 


R2]interface Serial 1/0 

R2- Seriall/0]ip add 192.168.1.2 24 

R2]local- user 123456 class network 

R2- luser- network- 123456]password simple 123456 
R2- luser- network- 123456]quit 

R2]domain system 

R2- isp- system]authentication ppp local 

R2- isp- system]quit 

[R2]interface Serial 1/0 

R2- Serial1/0]ppp authentication- mode chap domain system 
R2- Serial1/0]ppp chap user 123456 

R2- Serial1/0]ppp chap password simple 123456 
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实验 结果 如 下 : 


[R1]display interface Serial 1/0 

Serial1/0 

Current state: UP 

Line protocol state: 

UP Description: Serial1/0 Interface 

Bandwidth: 64 kbps 

Maximum transmission unit: 1500 

Hold timer: 10 seconds, retry times: 5 

Internet address: 192.168.1.1/24 (primary) 

Link layer protocol: PPP 

LCP: opened, IPCP: stopped 

Output queue -Urgent queuing: Size/Length/Discards 0/100/0 
Output queue - Protocol queuing: Size/Length/Discards 0/500/0 
Output queue - FIFO queuing: Size/Length/Discards 0/75/0 
Last link flapping: 0 hours 9 minutes 4 seconds 

Last clearing of counters: Never 


[R2]display interface Serial 1/0 

Serial1/0 

Current state: UP Line 

protocol state: UP 

Description: Serial1/0 Interface 

Bandwidth: 64 kbps 

Maximum transmission unit: 1500 

Hold timer: 10 seconds, retry times: 5 

Internet address: 192.168.1.2/24 (primary) 

Link layer protocol: PPP 

LCP: opened, IPCP: opened 

Output queue - Urgent queuing: Size/Length/Discards 0/100/0 
Output queue - Protocol queuing: Size/Length/Discards 0/500/0 
Output queue - FIFO queuing: Size/Length/Discards 0/75/0 
Last link flapping: 0 hours 28 minutes 24 seconds 

Last clearing of counters: Never 


[R1]ping 192.168.1.2 
Ping 192.168.1.2 (192.168.1.2): 56 data bytes, press CIRL C to break 
56 bytes from 192.168.1.2: icmp_seq=0 ttl-255 time=1.000 ms 
56 bytes from 192.168.1.2: Lomp seq-1 ttl=255 time=0.000 ms 
56 bytes from 192.168.1.2: Lomp seq=2 ttl=255 time=0.000 ms 
56 bytes from 192.168.1.2: icmp seq-3 ttl=255 time- 0.000 ms 
56 bytes from 192.168.1.2: icmp seq-4 ttl=255 time- 0.000 ms 





-- - Ping statistics for 192.168.1.2 -- - 

5 packet (s) transmitted, 5 packet (s) received, 0.0$ packet loss round- 

trip min/avg/max/std- dev = 0.000/0.200/1.000/0. 400 ms 

[R1]% Feb 2 21:42:55:617 2017 R1 PING/6/PING STATISTICS: Ping statistics for 


192.168.1.2: 5 packet (s) tra ted, 5 packet (s) received, 0.0$ packet loss, round- trip min/ 
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avg/max/std- dev =0.000/0.200/1.000/0.400 ms 


[R2]ping 192.168.1.1 
Ping 192.168.1.1 (192.168.1.1) : 56 data bytes, press CTRL C to break 
56 bytes from 192.168.1.1: icmp seq-0 ttl=255 time- 1.000 ms 
56 bytes from 192.168.1.1: icmp seq-1 ttl=255 time- 0.000 ms 
56 bytes from 192.168.1.1: icmp_seq=2 ttl=255 time- 0.000 ms 
56 bytes from 192.168.1.1: icmp_seq=3 ttl=255 time- 0.000 ms 
56 bytes from 192.168.1.1: icmp_seq=4 ttl=255 time- 0.000 ms 


---Ping statistics for 192.168.1.1 -- — 

5 packet (s) transmitted, 5 packet (s) received, 0.0% packet loss round- trip min/avg/max/std 
-dev =0.000/0.200/1.000/0.400 ms 

[R2]$ Feb 2 21:43:59:186 2017 R2 PING/6/PING STATISTICS: Ping statistics for 

192.168.1.1: 5 packet (s) transmitted, 5 packet (s) received, 0.0% packet loss, round-trip 
min/avg/max/std- dev =0.000/0.200/1.000/0.400 ms 


42 HDLC ë jr 


HDLC(High-level Data Link Control, 高 级 数据 链 路 控制 ) 是 一 种 面向 比特 的 数据 链 
路 层 协议 , 它 具 有 透明 性 、 帧 格式 、 规 程 种 类 的 特点 。 


4.2.1 HDLC 的 基本 概念 


HDLC 4848: HDLC 拥 绑 是 一 组 HDLC 接口 的 集合 ,HDLC 捆绑 是 随 着 HDLC M 
接口 的 创建 而 自动 生成 的 ,其 编号 与 HDLC 捆绑 接口 编号 相同 。 

HDLC 捆绑 接口 : HDLC 捆绑 接口 是 一 个 逻辑 接口 ,一 个 HDLC 捆绑 接口 对 应 一 个 
HDLC 440 . 

成 员 接口 : 加 入 HDLC 捆绑 后 的 接口 称 为 成 员 接口 。 

目前 ,只 有 POS 接口 和 Serial 接口 可 以 加 入 HDLC 捆绑 ,并 且 加 入 HDLC 38829 ff5 jn, 
员 接 口 的 数据 链 路 层 协议 类 型 必须 是 HDLC. 

加 入 HDLC 捆绑 后 ,成 员 接 口 的 网 络 层 将 被 置 于 Down 状态 ,成 员 接口 上 的 三 层 业 
务 相 关 的 配置 都 不 生效 ,成 员 接口 通过 HDLC 搁 绑 接口 的 三 层 配置 进行 业务 处 理 。 


4.2.2 HDLC 与 PPP 的 区 别 


(1) HDLC 协议 只 支持 点 到 点 链 路 ,不 支持 点 到 多 点 链 路 。 
(2) HDLC 只 能 封装 在 同步 链 路 上 ,如 果 是 同 异 步 串 口 , 只 有 当 同 异 步 串口 工作 在 同 
步 模式 下 才能 使 用 ; m PPP 可 以 使 用 在 异步 串 行 连接 ,如 拨号 或 者 同步 串 行 连接 ,如 
ISDN, 
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(3) PPP 是 面向 字符 的 ,HDLC 是 面向 位 的 。 
4.2.3 HDLC 的 配置 命令 


表 4-2 所 示 是 配置 HDLC 时 所 需 用 到 的 一 些 命令 。 
表 4-2 HDLC 的 配置 命令 




















操作 命令 操作 说 明 
system-view 进入 系统 界面 
interface hdlc-bundle number 创建 HDLC 捆绑 组 
ip address X. X, X. X X. X. X. X 设置 捆绑 组 的 IP 地 址 
int number 进入 端口 配置 界面 
link-protocol hdlc 封装 HDLC 
bundle id number 将 端口 加 入 HDLC 捆绑 组 中 





实验 2 配置 HDLC 


实验 目的 : 

(1) 掌握 HDLC 的 配置 方法 。 

(2) 了 解 HDLC 的 原理 。 

实验 器 材 : H3C MSR36-20 两 台 。 

实验 要 求 :为 了 增加 RI 和 R2 之 间 的 链 路 带宽 ,并 提高 连接 可 靠 性 ,在 设备 之 间 建 立 





HDLC 捆绑 逻辑 链 路 。 
HDLC 的 配置 拓扑 图 如 图 4-2 所 示 。 
10.10.10.1/24 10.10.10.2/24 
Ser 2/0 Ser 2/0 
KS sor 110 Ser 1⁄0 Ë 
MSR36-20 1 MSR36-20 2 
图 4-2 HDLC 的 配置 拓扑 图 
实验 步骤 如 下 : 
[R1] interface hdlc-bundle 1 // 创 建 HDLC 捆绑 1 


[R1- HDLC- bundlel] ip address 10.10.10.1 24 
[Rl]interface Serial 1/0 


[R1- Seriall/0]link- protocol hdlc // 封 装 HDLC PH 
[R1- Seriall/O]bundle id 1 // 将 端口 加 入 HDLC 捆绑 1 


[Rl]interface Serial 2/0 
[R1- Serial2/0]link- protocol hdlc 
[R1- Serial2/0]bundle id 1 
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[R1] interface hdlc-bundle 1 

[R1- HDLC- bundlel] ip address 10.10.10.2 24 
[R2]interface Serial 1/0 

[R2- Seriall/0]link- protocol hdlc 

[R2- Serial1/0]bundle id 1 

[R2]interface Serial 2/0 

[R2- Serial2/0]link- protocol hdlc 

[R2- Serial2/0]bundle id 1 


实验 结果 如 下 : 


[R1]display bundle hdlc- bundle 
Bundle: HDLC- bundlel, 
Selected members: 0, Total bandwidth: 0 kbps 


Member State Bandwidth (kbps) Priority 
Serial1/0 Initial 64 32768 
Serial2/0 Initial 64 32768 


[R2] display bundle hdlc- bundle 
Bundle: HDLC- bundlel, 
Selected members: 0, Total bandwidth: 0 kbps 


Member State Bandwidth (kbps) Priority 
Serial1/0 Initial 64 32768 
Serial2/0 Initial 64 32768 


[R1]ping 10.10.10.2 
Ping 10.10.10.2 (10.10.10.2): 56 data bytes, press CTRL C to break 
56 bytes from 10.10.10.2: icmp seq=0 ttl=255 time- 0.000 ms 
56 bytes from 10.10.10.2: icmp seq=1 ttl=255 time-1.000 ms 
56 bytes from 10.10.10.2: icmp seq=2 ttl=255 time- 0.000 ms 
56 bytes from 10.10.10.2: icmp seq=3 tt1-255 time=1.000 ms 
56 bytes from 10.10.10.2: icmp seq-4 ttl=255 time-2.000 ms 





---Ping statistics for 10.10.10.2 --- 

5 packet (s) transmitted, 5 packet(s) received, 0.0% packet loss round- 

trip min/avg/max/std- dev —0.000/0.800/2.000/0.748 ms 

[H3C]$ Feb 2 22:38:15:142 2017 H3C PING/6/PING STATISTICS: Ping statistics for 

10.10.10.2: 5 packet(s) transmitted, 5 packet(s) received, 0.0$ packet loss, round- trip 
min/avg/max/std- dev =0.000/0.800/2.000/0.748 ms 


[R2]ping 10.10.10.1 
Ping 10.10.10.1 (10.10.10.1): 56 data bytes, press CTRL C to break 
56 bytes from 10.10.10.1: icmp seq-0 ttl=255 time=1.000 ms 
56 bytes from 10.10.10.1: icmp seq-1 ttl-255 time=0.000 ms 
56 bytes from 10.10.10.1: icmp seq-2 ttl=255 time- 2.000 ms 
56 bytes from 10.10.10.1: icmp seq-3 ttl=255 time- 1.000 ms 
56 bytes from 10.10.10.1: icmp seq=4 ttl=255 time-1.000 ms 
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=== Ping statistics for 10.10.10.1 ——— 

5 packet (s) transmitted, 5 packet (s) received, 0.0% packet loss round- 

trip min/avg/max/std- dev =0.000/1.000/2.000/0. 632 ms 

[R2]% Feb 2 22:38:37:255 2017 R2 PING/6/PING STATISTICS: Ping statistics for 

10.10.10.1: 5 packet (s) transmitted, 5 packet (s) received, 0.0% packet loss, round- trip 


min/avg/max/std- dev = 0.000/1.000/2.000/0.632 ms 
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51 静态 路 由 


静态 路 由 是 指 需要 巾 用 户 或 管理 员 手动 配置 路 由 信息 的 一 种 特殊 路 由 。 静 态 路 由 一 
般 适 用 于 比较 简单 的 网 络 环境 ,在 这 样 的 环境 中 ,网 络 管理 员 易 于 清楚 地 了 解 网 络 的 拓扑 
结构 ,便于 设置 正确 的 路 由 信息 。 


5.1.1 静态 路 由 的 特点 


静态 路 由 主要 有 手动 配置 .路 由 路 径 相 对 固定 ,永久 存在 .不 可 通告 性 . 单 向 性 、 接 力 
性 ,递归 性 ,优先 级 较 高 .使 用 小 型 网 络 等 特点 。 


5.1.2 默认 路 由 
默认 路 由 是 一 种 特殊 的 静态 路 由 。 如 果 没 有 默认 路 由 ,那么 目的 地 址 在 路 由 表 中 没 
有 匹配 表 项 的 包 将 被 丢弃 ,通过 给 当前 路 由 器 配置 一 条 默认 路 由 ,那些 在 路 由 表 里 找 不 到 


匹配 路 由 表 和 人 口 项 的 数据 报 文 将 会 转发 给 另外 一 台 路 由 器 (如 果 这 台 路 由 器 的 路 由 能 力 
比较 强 , 包 括 到 达 大 部 分 所 有 网 络 的 路 由 信息 ), 由 另外 一 台 路 由 器 进行 报 文 的 转发 。 


5.1.3 静态 路 由 的 配置 命令 


表 5-1 所 示 是 配置 静态 路 由 时 所 需 用 到 的 一 些 命令 。 
表 5-1 静态 路 由 的 配置 命令 




















操作 命令 操作 说 明 
system-view 进入 系统 界面 
int number 进入 端口 配置 界面 
ip address X. X. X. X X. X. X. X 设置 IP 地 址 
ip route-static X. X. X. X X. X. X. X X. X. X. X 设置 静态 路 由 
ip route-static 0.0.0.0 0.0.0.0 X. X. X. X 设置 默认 路 由 
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实验 1 配置 静态 路 由 


实验 目的 : 掌握 静态 路 由 的 配置 方法 ,学 会 应 用 于 简单 的 网 络 环境 中 。 
实验 器 材 : H3C MSR36-20 两 台 、PC HE. 
静态 路 由 的 配置 拓扑 图 如 图 5-1 Bro 。 





RI R2 
1.1.1.10/24 1.1.1.11/24 
Ser 1/0 Ser 1/0 
192.168.1.1/24 | GE 0/1 GE 0/1 | 192.168.2.1/24 
GE 0/1 GE 0/1 
PC | PC 2 
192.168.1.5/24 192.168.2.5/24 


5-1 静态 路 由 的 配置 拓扑 图 


实验 步骤 如 下 : 


Rl]interface Serial 1/0 

R1-Seriall/0]ip address 1.1.1.10 24 

Rl]interface GigabitEthernet 0/1 

R1-GigabitEthernet0/1]ip address 192.168.1.1 24 
R1-GigabitEthernet0/1]quit 

ip route- static 192.168.2.1 255.255.255.0 1.1.1.11 // 配 置 静态 路 由 
interface Serial 1/0 

— Seriall/0]ip address 1.1.1.11 24 

interface GigabitEthernet 0/1 

- GigabitEthernet0/1]ip address 192.168.2.1 24 

- GigabitEthernet0/1]quit 

ip route- static 192.168.1.1 255.255.255.0 1.1.1.10  // 配 置 静态 路 由 


1) 在 PCI 上 配置 
在 PC 1 上 配置 静态 路 由 的 效果 如 图 5-2 所 示 。 
2) 在 PC_2 上 配置 
在 PC_2 上 配置 静态 路 由 的 效果 如 图 5-3 所 示 。 
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IPv4 配 置 : 

6 DHCP 

e 静态 

IPv4 地 址 :| 9246815 
WME: | 2552552550 
IPv4 网 关 : 19216811 
IPv6 配 置 : 

© DHCPv6 

* 静态 

IPv6 地 址 : 

MAK 

IPv6 网 关 : 





5-2 在 PC_1 上 配置 静态 路 由 的 效果 


o SR 

IPv4 配 置 : 

6 DHCP 

LI 

IPvdstiht: | 19216825 
MiMi: [2552552550 
IPv4 网 关 : | 19216821 
IPv6 配 置 : 

© DHCPv6 

eNs 

IPv6 地 址 : 

AKRE: 


IPv6 网 关 : 





图 5-3 在 PC_2 上 配置 静态 路 由 的 效果 
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实验 结果 如 下 : 
(D 在 PC_1 上 ping PC 2 的 IP 地 址 。 


[H3C]ping 192.168.2.5 
Ping 192.168.2.5 (192.168.2.5): 56 data bytes, press CTRL C to break 
56 bytes from 192.168.2.5: icmp seq-0 ttl=253 time- 2.000 ms 
56 bytes from 192.168.2.5: icmp seq-1 tt1-253 time- 2.000 ms 
56 bytes from 192.168.2.5: icmp seq-2 ttl=253 time- 2.000 ms 
56 bytes from 192.168. cmp seq=3 ttl=253 time- 2.000 ms 
56 bytes from 192.168.2.5: icmp seq-4 ttl=253 time- 1.000 ms 








---Ping statistics for 192.168.2.5 --- 

5 packet (s) transmitted, 5 packet (s) received, 0.0% packet loss round- 

trip min/avg/max/std- dev —1.000/1.800/2.000/0.400 ms 

[H3C]%Feb 14 15:58:23:973 2017 H3C PING/6/PING STATISTICS: Ping statistics for 

192.168.2.5: 5 packet (s) transmitted, 5 packet (s) received, 0.0% packet loss, round- trip 
min/avg/max/std- dev =1.000/1.800/2.000/0.400 ms 


(2) f£ PC 2 E ping PC 1 ff IP WE, 


[H3C]ping 192.168.1.5 
Ping 192.168.1.5 (192.168.1.5): 56 data bytes, press CTRL C to break 
56 bytes from 192.168.1.5: icmp_seq=0 tt1-253 time- 4.000 ms 
56 bytes from 192.168.1. cmp seq-1 tt1-253 time=2.000 ms 
56 bytes from 192. cmp_seq= 2 ttl= 253 time=2.000 ms 
56 bytes from 192. cmp seq=3 tt1-253 time=1.000 ms 
56 bytes from 192.168.1.5: Lomp seq-4 ttl= 253 time=1.000 ms 














- - - Ping statistics for 192.168.1.5 --- 

5 packet (s) transmitted, 5 packet (s) received, 0.0$ packet loss round- trip min/avg/max/std 
- dev =1.000/2.000/4.000/1.095 ms 

[H3C] $Feb 14 16:00:36:864 2017 H3C PING/6/PING STATISTICS: Ping statistics for 

192.168.1.5: 5 packet(s) transmitted, 5 packet (s) received, 0.0% packet loss, round-trip 
min/avg/max/std- dev =1.000/2.000/4.000/1.095 ms 


52 ISIS ë + 


IS-ISCIntermediate System to Intermediate System Routing Protocol, rf [i] £ £i $ rfr 
间 系 统 的 路 由 选择 协议 ) 是 一 种 链 路 状态 协议 。IS-IS 使 用 LSP(Link State PDU) 维 护 一 
个 链 路 状态 数据 库 。 


5.2.1 IS-IS [X bk 
(1) Level-l F H 28. Level-1 路 由 器 负责 区 域内 的 路 由 , 它 只 与 属于 同一 区 域 的 


Level-1 和 Level-1-2 路 由 器 形成 邻居 关系 ,维护 一 个 Level-1 的 LSDB, 该 LSDB 包含 本 
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区 域 的 路 由 信息 ,到 区 域外 的 报 文 转发 给 最 近 的 Level-1-2 路 由 器 。 
Level-1 路 由 器 不 能 形成 邻居 关系 。 





属于 不 同 区 域 的 


(2) Level-2 路 由 器 。Level-2 路 由 器 负责 区 域 间 的 路 由 ,可 以 与 同一 区 域 或 者 其 他 








区 域 无 关 。 


区 域 的 Level-2 和 Level-1-2 路 由 器 形成 邻居 关系 ,维护 一 个 Level-2 的 LSDB, 该 LSDB 
包含 区 域 间 的 路 由 信息 。 所 有 Level-2 路 由 器 和 Level-1-2 路 由 器 组 成 路 由 域 的 骨干 网 ， 
负责 在 不 同 区 域 间 通信 ,骨干 网 必须 是 物理 连续 的 。Level-2 路 由 器 是 否 形成 邻居 关系 与 


(3) Level-1-2 路 由 器 。 同 时 属于 Level-1 和 Level-2 的 路 由 器 称 为 Level-1-2 路 由 
器 ,可 以 与 同一 区 域 的 Level-1 和 Level-1-2 路 由 器 形成 Level-1 的 邻居 关系 ,也 可 以 与 同 
一 区 域 或 者 其 他 区 域 的 Level-2 和 Level-1-2 路 由 器 形成 Level-2 的 邻居 关系 。Level-l 
路 由 器 必须 通过 Level-1-2 路 由 器 才能 连接 至 其 他 区 域 。Level-1-2 路 由 器 维护 两 个 
LSDB, Level-1 的 LSDB 用 于 区 域内 路 由 ,Level-2 的 LSDB 用 于 区 域 间 路 由 。 





5.2.2 IS-IS 的 配置 命令 


表 5-2 所 示 是 配置 IS-IS 时 所 需 用 到 的 一 些 命令 。 
表 5-2 IS-IS 的 配置 命令 




















操作 命令 操作 说 明 
system-view 进入 系统 界面 
isis id 创建 IS-IS, 并 进入 IS-IS 配置 界面 
is-level level-number 设置 路 由 等 级 
network-entity X X. 0000. 0000. 000 X . 00 设置 IS-IS 的 区 域 
int number 进入 端口 配置 界面 
isis enable id 启用 IS-IS 





实验 2 配置 IS-S 


实验 目的 : 掌握 IS-IS 的 配置 方法 。 
实验 器 材 : H3C MSR36-20 三 台 。 


实验 要 求 : ISIS 进程 为 10,R1l 的 区 域 为 10, R2、R3 的 区 域 为 20, 路 由 器 等 级 为 


Level-2, 
IS-IS 的 配置 拓扑 图 如 图 5-4 所 示 。 
实验 步骤 如 下 ， 
[Rl]isis 10 // 创 建 ITS- Is 的 进程 号 10 
[Rl- isis-10]is- level level-2 // 设 置 路 由 等 级 为 Level-2 
[R1- isis- 10]network- entity 10.0000.0000.0001.00 // 设 置 1s- 18 的 区 域 为 10 
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11.0.0.13/30 11.0.0.17/30 


11.0.0.14/30 
Ser 2/0 


11.0.0.18/30 
Ser 2/0 





11.0.0.21/30 11.0.0.22/30 
Ser 3/0 Ser 3/0 





图 5-4 ISIS 的 配置 拓扑 图 


Rl]interface Serial 2/0 

Rl- Serial2/0]isis enable 10 // 在 端口 上 启用 rs- rs 
[R1- Serial2/0]quit 

Rl]interface Serial3/0 

R1- Serial3/0]isis enable 10 

R2]isis 10 

R2- isis-10]is- level level-2 

R2- isis- 10]network- entity 20.0000.0000.0002.00 // 设 置 ITS- IS 的 区 域 为 20 
R2-isis-10]quit 

interface Serial 2/0 

— Serial2/0]isis enable 10 

- Serial2/0]quit 

interface Serial3/0 

2- Serial3/0]isis enable 10 

[R3]isis 10 

R3- isis- 10]is- level level-2 

R3- isis- 10]network- entity 20.0000.0000.0003.00 
[R3- isis- 10]quit 

R3]interface Serial 2/0 

[R3- Serial2/0]isis enable 10 

R3- Serial2/0]quit 

[R3]interface Serial 3/0 

R3- Serial3/0]isis enable 10 


实验 结果 如 下 : 


NEM 


[ 








Rl]display isis lsdb 


Database information for IS- IS (10) 





项 目 5 EECH 


0000.0000.0001.00- 00*  0x00000007  0x6857 1135 95 0/0/0 
0000.0000.0002 . 00- 00 0x00000007 Oxecb9 1143 95 0/0/0 
0000.0000.0003.00- 00 0x00000006 Oxdbc2 1143 95 0/0/0 


* -Self LSP, + -Self LSP (Extended), ATT- Attached, P- Partition, OL- Overload 
[R2]display isis lsdb 


Database information for IS- IS (10) 


LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0001 .00- 00 0x00000007  0x6857 1052 95 0/0/0 
0000.0000.0002.00- 00* 0x00000007 Oxecb9 1062 95 0/0/0 
0000.0000.0003.00- 00 0x00000006 Oxdbc2 1061 95 0/0/0 


* -Self LSP, + -Self LSP (Extended), ATT- Attached, P- Partition, OL- Overload 
[R3]display isis lsdb 


Database information for IS- IS (10) 





LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0001.00- 00 0x00000007  0x6857 1026 95 0/0/0 
0000.0000.0002.00- 00 0x00000007 Oxecb9 1033 95 0/0/0 
0000.0000.0003.00- 00* ` 0x00000006 Oxdbc2 1036 95 0/0/0 


* -Self LSP, + -Self LSP (Extended), ATT- Attached, P- Partition, OL- Overload 


53 BGP ĤI +T 


BGP(Border Gateway Protocol, 边 界 网 关 协 议 ) 是 运行 于 TCP 上 的 一 种 自治 系统 的 
路 由 协议 , 它 可 以 应 用 于 不 同 的 ASCAutonomous System ,自治 系统 ) 之 间 , 也 可 以 应 用 于 
同一 AS 内 部 。 当 BGP 运行 于 同一 AS 内 部 时 ,被 称 为 IBGP(Internal BGP); 4 BGP ia 
行 于 不 同 AS 之 间 时 , 称 为 EBGP(External BGP). 


5.3.1 BGP 的 路 由 属性 


BGP HH UR (ORIGIN) JS HELAS 路 径 (AS_PATH) 属 性 .下 一 跳 (NEXT_HOP) 属 
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性 .MED(Multi-Exit Discriminator, 多 出 口 区 分 ) 属 性 .团体 (COMMUNITY) 属 性 .本 地 
优先 (LOCAL_PREF) 属 性 .扩展 团体 属性 等 路 由 属性 。 


5.3.2 BGP 的 配置 命令 


# 5-3 所 示 是 配置 BGP 时 所 需 用 到 的 一 些 命令 。 
表 5-3 BGP 的 配置 命令 




















操作 命令 操作 说 明 
system-view 进入 系统 界面 
bgp id 创建 BGP, 并 进入 BGP 配置 界面 
peer X. X. X. X as-numberid 创建 对 等 体 , 并 指定 对 等 体 的 AS 号 
address-family ipv4 创建 BGP IPv4 iS kii ht fe 
peer X. X. X. X enable 使 本 地 路 由 器 与 指定 对 等 体 交 换 IPv4 单 播 路 由 信息 的 能 力 


实验 3 配置 Dud BGP 


实验 目的 : 掌握 IPv4 BGP 的 配置 方法 。 
实验 器 材 : H3C MSR36-20 三 台 。 
实验 要 求 : 

(1) R1 为 AS20,R2、R3 为 AS10。 

(2) R2 与 R3 建立 IBGP 连接 。 

(3) 全 网 路 由 互通 。 

IPv4 BGP 的 配置 拓扑 图 如 图 5-5 所 示 。 







11.0.0.13/30 11.0.0.17/30 


11.0.0.14/30 
Ser 2/0 


11.0.0.18/30 
Ser 2/0 







11.0.0.21/30 
Ser 3/0 


11.0.0.22/30 
Ser_3/0 








图 5-5 IPv4 BGP 的 配置 拓扑 图 


实验 步骤 如 下 : 


[R1]interface Serial2/0 
[R1- Serial2/0]ip address 11.0.0.13 30 
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[R1- Serial2/0] quit 
[Rl] interface Serial3/0 
[R1- Serial3/0]ip address 11.0.0.17 30 
[R1]bgp 20 // 设 置 as 号 ,并 接 人 BGP 视 图 
[R1-bgp]peer 11.0.0.14 as- number 10 
// 创 建 IPv4 BGP 对 等 体 ,并 指定 对 等 体 的 Rs 号 为 10 
[R1- bgp]address- family ipv4 
// 创 建 BGP IPv4 单 播 地 址 簇 
[R1-bgp- ipv4]peer 11.0.0.14 enable 
// 使 本 地 路 由 器 与 指定 对 等 体 交换 IPv4 单 播 路 由 信息 的 能 力 
[R1-bgp- ipv4]quit 
[R1-bgp]peer 11.0.0.18 as- number 10 
[R1-bgp]address- family ipv4 
[R1- bgp- ipv4]peer 11.0.0.18 enable 


[R2] interface Serial2/0 

[R2- Serial2/0]ip address 11.0.0.14 30 

[R2- Serial2/0]quit 

[R2] interface Serial 3/0 

[R2- Serial3/0]ip address 11.0.0.21 30 

[R2]bgp 10 

[R2- bgp]peer 11.0.0.13 as- number 20 
// 创 建 IPv4 BoP 对 等 体 ,并 指定 对 等 体 的 as 号 为 20 

[R2- bgp]address- family ipv4 

[R2- bgp- ipv4]peer 11.0.0.13 enable 

[R2- bgp- ipv4]quit 

[R2- bgp]peer 11.0.0.22 as- number 10 

[R2- bgp]address- family ipv4 

[R2- bgp- ipv4]peer 11.0.0.22 enable 


[R3]interface Serial2/0 

[R3- Serial2/0]IP address 11.0.0.18 30 
[R3- Serial2/0]quit 

[R3]interface Serial 3/0 

[R3- Serial3/0]ip address 11.0.0.22 30 
[R3]bgp 10 

[R3- bgp]peer 11.0.0.17 as- number 20 
[R3- bgp]address- family ipv4 

[R3- bgp- ipv4]peer 11.0.0.17 enable 
[R3- bgp- ipv4]quit 

[R3- bgp]peer 11.0.0.21 as- number 10 
[R3- bgp]address- family ipv4 

[R3- bgp- ipv4]peer 11.0.0.21 enable 


实验 结果 如 下 : 


[R1]display bgp peer ipv4 
BGP local router ID: 11.0.0.17 
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Local AS number: 20 
Total number of peers: 2 
* -Dynamically created peer 


Peer AS MsgRcvd MsgSent OutQ 
11.0.0.14 10 8 9 0 
11.0.0.18 10 5 5 0 


[R2]display bgp peer ipv4 

BGP local router ID: 11.0.0.21 
Local AS number: 10 

Total number of peers: 2 

* -Dynamically created peer 


Peer AS MsgRcvd MsgSent OutQ 
11.0.0.13 20 15 13 0 
11.0.0.22 10 9 10 0 


[R3]display bgp peer ipv4 

BGP local router ID: 11.0.0.22 
Local AS number: 10 

Total number of peers: 2 

* -Dynamically created peer 


Peer AS MsgRcvd MsgSent OutQ 
11.0.0.17 20 6 6 0 
11.0.0.21 10 6 5 0 


Peers in established state: 2 


PrefRcv Up/Down State 
0 00:05:06 Established 
0 00:02:19 Established 


Peers in established state: 2 


PrefRcv Up/Down State 
0 00:09:24 Established 
0 00:06:07 Established 


Peers in established state: 2 


PrefRcv Up/Down State 
0 00:03:07 Established 
0 00:02:37 Established 


54 RP 简介 


RIP 是 一 种 基于 距离 矢量 (Distance-Vector) 算 法 的 动态 路 由 选择 协议 ,RIP 使 用 跳 
数 来 衡量 到 达 目 的 地 址 的 距离 , 跳 数 称 为 度量 值 。 范 围 限制 在 15 跳 (15 度 ) 之 内 。 华 三 


定义 的 管理 距离 (AD, 即 优先 级 ) 是 100。 


5.4.1 RIP 两 个 版 本 的 比较 


RIP 有 两 个 版 本 : RIP-VI 和 RIP-V2, RIP-VI 与 RIP-V2 有 以 下 区 别 。 
(1) RIP-V1 是 有 类 路 由 协议 ,RIP-V2 是 无 类 路 由 协议 。 

(2) RIP-VI 广播 路 由 更 新 ,RIP-V2 组 播 路 由 更 新 。 

(3) RIP-V2 路 由 更 新 所 携带 的 信息 要 比 RIP-V1 多 。 


5.4.2 RIP 的 配置 命令 


表 5-4 所 示 是 配置 RIP 时 所 需 用 到 的 一 些 命令 。 
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R54 RIP 的 配置 命令 




















操作 命令 操作 说 明 
system-view 进入 系统 界面 
rip id 创建 RIP, 并 进入 RIP 配置 界面 
undo summary 关闭 自动 汇总 
version number 选择 版 本 
Network X. X. X. X 发 布 网 段 
import-route rip id 引入 外 部 路 由 





实验 4 B RP 


实验 目的 : 掌握 RIP 的 配置 方法 。 
实验 器 材 : MSR36-20 三 台 、 串 行 线 三 条 。 
实验 要 求 : RIP 进程 号 为 10 ,版 本 号 为 RIP-V2 ,取消 自动 聚合 。 为 管理 方便 , 需 发 布 





















Loopback 地 址 。 
实验 拓扑 : RIP 的 配置 拓扑 图 如 图 5-6 所 示 。 
LO:9.9.9.1/32 
11.1.1.1/24 10.1.1.1/24 
Ser 2/0) Ser 3/0 
MSR36-20 1 
11.1.1.2/24 10.1.1.2/24 
Ser 2/0 Ser 3/0 
12.1.1.1/24 12.1.1.2/24 
Ser 1/0 Ser 1/0 
MSR36-20 2 MSR36-20 3 
L0:9.9.9.2/32 L0:9.9.9.3/32 
图 5-6 RIP 的 配置 拓扑 图 
实验 步骤 如 下 : 


Rl]interface Serial 2/0 
Rl- Serial2/0]ip address 11.1.1.1 24 
Rl]interface Serial 3/0 
R1- Serial3/0]ip address 10.1.1.1 24 





Rl]interface LoopBack 0 // 进 入 环 回 地 址 

Rl- LoopBack0]ip address 9.9.9.1 32 

Rl]rip 5 // 设 置 RIP 的 进程 号 为 5 
R1- rip- 5]undo summary // 关 闭 自动 汇总 

Rl- rip- 5]version 2 // 设 置 版 本 

Rl- rip- 5]network 11.1.1.1 // 发 布 网 段 
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[R1- rip- 5]network 10.1.1.1 
[R1- rip- 5]network 9.9.9.1 


[R2] int Serial 2/0 

[R2- Serial2/0]ip address 11.1.1.2 24 
[R2] interface Serial 1/0 

[R2- Seriall/0]ip address 12.1.1.1 24 
[R2] interface LoopBack 0 

[R2- LoopBack0] ip address 9.9.9.2 32 
[R2]rip 5 

[R2- rip- 5]undo summary 

[R2- rip- 5]version 2 

[R2- rip- 5]network 11.1.1.2 

[R2- rip- 5]network 12.1.1.1 

[R2- rip- 5]network 9.9.9.2 

[R3]int Serial 1/0 

[R3- Seriall/0]ip address 12.1.1.2 24 
[R3- Seriall/0]quit 

[R3]int Serial 3/0 

[R3- Serial3/0]ip address 10.1.1.2 24 
[R3]interface LoopBack 0 

[R3- LoopBack0] ip address 9.9.9.3 32 
[R3]rip 5 

[R3- rip- 5]undo summary 

[R3- rip- 5]version 2 

[R3- rip- 5]network 10.1.1.2 

[R3- rip- 5]network 12.1.1.2 

[R3- rip- 5]network 9.9.9.3 


实验 结果 如 下 : 


[Rl]display rip 5 route 
Route Flags: R - RIP, T - TRIP 
P - Permanent, A - Aging, S - Suppressed, G - Garbage- collect 
D - Direct, O - Optimal, F -Flush to RIB 
PIERII NEIGE EC RR IDEE CU C TRA ECR Peer 10.1.1.2 on Serial3/0 
Destination/Mask  Nexthop Cost Tag Flags Sec 
12.1.1.0/24 10.1.1.2 1 0 RAOF 14 
9.9.9.3/32 10:1:1.2 1 0 RAOF 14 
Peer 11.1.1.2 on Seria12/0 
Destination/Mask Nexthop Cost Tag Flags Sec 
12.1.1.0/24 11.1.1.2 1 0 RAOF 28 
9.9.9.2/32 11.1.1.2 1 0 RAOF 28 
Local route 
Destination/Mask Nexthop Cost Tag Flags Sec 


11.1.1.0/24 0.0.0.0 0 0 RDOF 
10.1.1.0/24 0.0.0.0 0 0 RDOF 
9.9.9.1/32 0.0.0.0 0 0 RDOF 
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[R2]display rip 5 route 
Route Flags: R - RIP, T - TRIP 
P — Permanent, A - Aging, S - Suppressed, G - Garbage- collect 
D - Direct, O - Optimal, F -Flush to RIB 
I D CC CD LL Peer 11.1.1.1 on Serial2/0 
Destination/Mask  Nexthop Cost Tag Flags Sec 
10.1.1.0/24 et 1 0 RAOF 16 
9.9.9.1/32 11:3.1.1 1 0 RAF 16 
Peer 12.1.1.2 on Seria11/0 
Destination/Mask Nexthop Cost Tag Flags Sec 


10.1.1.0/24 12.1.1.2 £ 0 RAOF 21 

9.9.9.3/32 12.1.1.2 1 0 RAOF 21 
Local route 

Destination/Mask Nexthop Cost Tag Flags Sec 

11.1.1.0/24 0.0.0.0 0 0 RDOF - 

12.1.1.0/24 0.0.0.0 0 0 RDOF - 

9.9.9.2/32 0.0.0.0 0 0 RDOF - 


[R3]display rip 5 route 

Route Flags: R - RIP, T - TRIP 
P - Permanent, A - Aging, S - Suppressed, G - Garbage- collect 
D -Direct, O -Optimal, F -Flush to RIB 





- Peer 10.1.1.1 on Serial3/0 
Destination/Mask Nexthop Cost Tag Flags Sec 
11.1.1.0/24 10.1,.1,1 1 0 RAOF 26 
9.9.9.1/32 10.1.1.1 1 0 RAOF 26 
Peer 12.1.1.1 on Seria11/0 
Destination/Mask Nexthop Cost Tag Flags Sec 


11.1.1.0/24 22:33. 1 0 RAOF 8 

9.9.9.2/32 12.1.1.1 1 0 RAOF 8 
Local route 

Destination/Mask  Nexthop Cost Tag Flags Sec 

10.1.1.0/24 0.0.0.0 0 0 RDOF - 

12.1.1.0/24 0.0.0.0 0 0 RDOF - 

9.9.9.3/32 0.0.0.0 0 0 RDOF - 


实验 5 配置 RP 并 引入 外 部 路 由 


实验 目的 : 学 会 如 何 引入 外 部 路 由 。 

实验 器 材 : H3C MSR36-20 三 台 。 

实验 要 求 : 

(1) 在 R2 上 运行 RIP 10 和 RIP 20, 

(2) R2 通过 RIP 10 和 RI 交换 路 由 信息 ,通过 RIP 20 和 R3 交换 路 由 信息 。 


在 R2 上 配置 RIP 进程 20 并 引入 外 部 路 由 ,引入 直 连 路 由 和 RIP 进程 100 的 路 由 ， 





—«—— 


使 得 R3 能 够 学 习 到 达 11.0.0. 1/24 的 路 由 ,但 RI 不 能 学 习 到 达 12. 1. 1.2/24 的 路 由 。 
实验 拓扑 : 外 部 路 由 引入 拓扑 图 如 图 5-7 所 示 。 





2⁄ RPI S ,7 RIP20 ss 
00124 110.0224 WES 12.1.1124 12.1.1224 EEN 
ach GE 0/1 GE 0/1 Kach GE 02 X eu) 
X P MX 





RI Se a” R2 


R3 


图 5-7 外 部 路 由 引入 拓扑 图 


实验 步骤 如 下 : 


Rl]interface GigabitEthernet 0/1 
R1-GigabitEthernet0/1]ip add 11.0.0.1 24 
R1]RIP 10 

Rl- rip- 10]network 11.0.0.0 

Rl- rip- 10]version 2 

Rl- rip- 10] undo summary 


R2]interface GigabitEthernet 0/1 
R2-GigabitEthernet0/1]ip add 11.0.0.2 24 
R2- GigabitEthernet0/1]quit 

R2]interface GigabitEthernet 0/2 

R2- GigabitEthernet0/2]ip add 12.1.1.1 24 


R2]rip 10 

R2- rip- 10]network 11.0.0.0 
R2- rip- 10]version 2 

R2- rip- 10]undo summary 

R2- rip- 10]quit 

R2]rip 20 

R2- rip- 20]network 12.0.0.0 
R2- rip- 20]version 2 

R2- rip- 20]undo summary 

R2- rip- 20]quit 


R3]interface GigabitEthernet 0/2 
R3-GigabitEthernet0/2]ip add 12.1.1.2 24 
R2]rip 20 

R2- rip- 20]network 12.0.0.0 

R2- rip- 20]version 2 

R2- rip- 20]undo summary 


现在 查看 未 引入 外 部 路 由 时 R3 的 路 由 表 信 息 。 





R3]display ip routing- table 
Destinations : 12 Routes : 12 
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Destination/Mask Proto Pre Cost NextHop Interface 
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoopO 
12.1.1.0/24 Direct 0 0 12.1.1.2 GE0/2 
12.1.1.0/32 Direct 0 0 12.1.1.2 GE0/2 
12.1.1.2/32 Direct 0 0 127.0.0.1 InLoopO 
12.1.1.255/32 Direct 0 0 312.1.1.2 GE0/2 
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopO 
127.0.0.0/32 Direct 0 0 127.0.0.1 InLoopO 
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopO 
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoopO 
224.0.0.0/4 Direct 0 0 0.0.0.0 NULLO 
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoopO 


下 面 在 R2 上 配置 RIP 并 引入 外 部 路 由 。 


[R2]rip 20 
[R2- rip- 20]import- route rip 10 
[R2- rip- 20]import- route direct 


实验 结果 如 下 : 


[R3]display ip routing- table 
Destinations : 13Routes : 13 


Destination/Mask Proto Pre Cost NextHop Interface 
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoopO 
11.0.0.0/24 RIP 100 1 12.1.1.1 GE0/2 
12.1.1.0/24 Direct 0 0 12.1.1.2 GE0/2 
12.1.1.0/32 Direct 0 0 12.1:1.2 GE0/2 
12.1.1.2/32 Direct 0 0 127.0.0.1 InLoopO 
12.1.1.255/32 Direct 0 0 12.1.1.2 GEO/2 
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopO 
127.0.0.0/32 Direct 0 0 127.0.0.1 InLoopO 
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopO 
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoopO 
224.0.0.0/24 Direct 0 0 0.0.0.0 NULLO 
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoopO 


55 OSPF ë +T 


OSPF( Open Shortest Path First. 开放 式 最 短路 径 优先 ) 是 IETF (Internet 
Engineering Task Force, 互 联网 工程 任务 组 ) 组 织 开发 的 一 个 基于 链 路 状态 的 内 部 网 关 
协议 (Interior Gateway Protocol, IGP), 


5.5.1 OSPF 的 区 域 


为 了 解决 在 网 络 规模 增 大 后 造成 的 网 络 中 大 量 的 OSPF 协议 报 文 传递 ,从 而 降低 了 
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网 络 的 带宽 利用 率 。OSPF 协议 通过 自治 系统 划分 成 不 同 区 域 来 解决 这 一 问题 。 
OSPF 区 域 大 致 可 分 为 骨干 区 域 、Stub KH, Totally Stub 区 域 .NSSA 区 域 和 
Totally NSSA 区 域 。 


5.5.2 OSPF 路 由 器 类 型 


OSPF 路 由 器 根据 在 AS 中 的 不 同位 置 ,分 为 区 域内 路 由 器 、 区 域 边界 路 由 器 ABR、 
骨干 路 由 器 .自治 系统 边界 路 由 器 ASBR 四 类 。 








5.5.3 OSPF 的 配置 命令 


K 5-5 所 示 是 配置 OSPF 时 所 需 用 到 的 一 些 命令 。 
dX 5-5 OSPF 的 配置 命令 

















操作 命令 操作 说 明 
system-view 进入 系统 界面 
ospf id 创建 OSPF ,并 进入 配置 界面 
area id 创建 OSPF 区 域 
network X. X. X. X 发 布 网 段 
vlink-pee X. X. X. X 创建 虚 连 接 





实验 6 配置 简单 的 OSPF 


实验 目的 : 学 会 如 何 配置 OSPF 协议 。 

实验 器 材 : MSR36-20 三 台 、 串 行 线 三 条 。 

实验 要 求 : OSPF 的 进程 号 为 10, 区 域 为 0, 为 管理 方便 , 需 发 布 Loopback 地 址 。 
实验 拓扑 : 配置 OSPF 协议 拓扑 图 如 图 5-8 所 示 。 

实验 步骤 如 下 : 


Rl]interface Serial 2/0 

Rl- Serial2/0]ip address 11.1.1.1 24 

Rl]interface Serial 3/0 

R1- Serial3/0]ip address 10.1.1.1 24 

Rl]interface LoopBack 0 // 进 入 环 回 地 址 
R1- LoopBack0]ip address 9.9.9.1 32 

Rl]ospf 10 

Rl- ospf- 10]area 

Rl- ospf- 10]area 0 

R1-ospf- 10- area- 0.0.0.0]network 11.1.1.1 0.0.0.255 // 发 布 网 段 
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L0:9.9.9.1/32 











11.1.1.1/24 10.1.1.1/24 


MSR36-20 1 


11.1.1.2/24 
Ser 2/0 


10.1.1.2/24 
Ser 3/0 





12.1.1.1/24 12.1.1.2/24 


Ser 1/0 Ser 1/0 
MSR36-20 2 MSR36-20 3 
L0:9.9.9.2/32 L0:9.9.9.3/32 


5-8 配置 OSPF 协议 拓扑 图 








R1-ospf- 10- area- 0.0.0.0]network 10.1.1.1 0.0.0.255 
R1-ospf- 10- area- 0.0.0.0]network 9.9.9.1 0.0.0.0 
R2]int Serial 2/0 

R2- Serial2/0]ip address 11.1.1.2 24 

R2]interface Serial 1/0 

R2- Seriall/0]ip address 12.1.1.1 24 

[R2]interface LoopBack 0 

R2- LoopBack0]ip address 9.9.9.2 32 

R2]ospf 10 

R2- ospf- 10]area 0 

[R2- osp£- 10- area- 0.0.0.0]network 11.1.1.2 0.0.0.255 
R2- ospf- 10- area- 0.0.0.0]network 12.1.1.1 0.0.0.255 
R2- ospf- 10- area- 0.0.0.0]network 9.9.9.2 0.0.0.0 


[R3]int Serial 1/0 

R3- Seriall/0]ip address 12.1.1.2 24 

R3- Serial1/0] quit 

R3]int Serial 3/0 

[R3- Serial3/0]ip address 10.1.1.2 24 

[R3]interface LoopBack 0 

R3- LoopBack0]ip address 9.9.9.3 32 

R3]ospf 10 

R3- ospf- 10]area 0 

[R3- ospf- 10- area- 0.0.0.0]network 10.1.1.2 0.0.0.255 
R3- ospf- 10- area- 0.0.0.0]network 12.1.1.2 0.0.0.255 
[R3- ospf- 10- area- 0.0.0.0]network 9.9.9.3 0.0.0.0 


实验 结果 如 下 : 


R1]display ospf peer verbose // 查 看 OSPF 的 邻居 





OSPF Process 10 with Router ID 9.9.9.1 Neighbors 

Area 0.0.0.0 interface 11.1.1.1 (Serial2/0) 's neighbors 
Router ID: 9.9.9.2 

Address: 11.1.1.2 
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GR state: Normal 

State: Full 

Mode: Nbr is master 

Priority: 1 

DR: None 

BDR: None 

MIU: 0 

Options is 0x42 (-lOI- |- |- l- IEI- ) Dead 
timer due in 35 sec 

Neighbor is up for 00:01:33 
Authentication sequence: [0] 
Neighbor state change count: 5 
BFD status: Disabled 


Area 0.0.0.0 interface 10.1.1.1(Serial3/0)'s neighbors 
Router ID: 9.9.9.3 Address: 10.1.1.2 
GR state: Normal 
State: Full 
Mode: Nbr is master 
Priority: 1 
DR: None 
BDR: None 
MIU: 0 
Options is 0x42 (- [O|- |- |- |- IEl-) Dead 
timer due in 33 sec 
Neighbor is up for 00:01:12 
Authentication sequence: [0] 
Neighbor state change count: 5 
BFD status: Disabled 
[R2]display ospf peer verbose 


OSPF Process 10 with Router ID 9.9.9.2 Neighbors 


Area 0.0.0.0 interface 12.1.1.1(Seriall/0)'s neighbors 
Router ID: 9.9.9.3 Address: 12.1.1.2 

GR state: Normal 

State: Full 

Mode: Nbr is master 

Priority: 1 

DR: None 

BDR: None 

MIU: 0 

Options is 0x42 (- [O|- |- l- |- IEI-) Dead 

timer due in 35 sec 

Neighbor is up for 00:25:51 

Authentication sequence: [0] 

Neighbor state change count: 5 

BFD status: Disabled 
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Area 0.0.0.0 interface 11.1.1.2 (Serial2/0) 's neighbors 
Router ID: 9.9.9.1Address: 11.1.1.1 

GR state: Normal 

State: Full 

Mode: Nbr is slave 

Priority: 1 

DR: None 

BDR: None 

MTU: 0 

Options is 0x42 (- [O|- |- l- l- IEI-) Dead 

timer due in 36 sec 

Neighbor is up for 00:01:57 

Authentication sequence: [0] 

Neighbor state change count: 5 

BED status: Disabled 


[R3] display ospf peer verbose 
OSPF Process 10 with Router ID 9.9.9.3 Neighbors 


Area 0.0.0.0 interface 12.1.1.2(Serial1/0) 's neighbors 
Router ID: 9.9.9.2Address: 12.1.1.1 

GR state: Normal 

State: Full 

Mode: Nbr is slave 

Priority: 1 

DR: None 

BDR: None 

MTU: 0 

Options is 0x42 (- |O|- l- l- |- IEl-) Dead 

timer due in 32 sec 

Neighbor is up for 00:27:19 

Authentication sequence: [0] 

Neighbor state change count: 5 

BFD status: Disabled 


Area 0.0.0.0 interface 10.1.1.2 (Serial3/0)'s neighbors 
Router ID: 9.9.9.1Address: 10.1.1.1 
GR state: Normal 
State: Full 
Mode: Nbr is slave Priority: 1 
DR: None BDR: None MTU: 0 
Options is 0x42 (- [O|- |- l- l- [EI - ) Dead 
timer due in 34 sec 
Neighbor is up for 00:02:56 
Authentication sequence: [0] 
Neighbor state change count: 5 
BFD status: Disabled 


WA 5 = 
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实验 7 配置 OSPF 的 虚 连接 


实验 目的 : 掌握 虚 连 接 的 配置 方法 。 

实验 器 材 : H3C MSR36-20 四 台 。 

实验 要 求 : 

(1) Area? 没有 与 Area0 直接 相连 。 

(2) Areal 被 用 作 传 输 区 域 (Transit Area) 来 连接 Area? 和 Area. 
(3) R2 和 R3 之 间 配 置 一 条 虚 连 接 。 

虚 连 接 的 配置 拓扑 图 如 图 5-9 所 示 。 









/ 
/ 
/ 
I 
I 











GE 0/2 EE) GE 0/0 
11.3.1.1/24 v^ 11.1.1.124 
RI 
图 5-9 虚 连 接 的 配置 拓扑 图 


实验 步骤 如 下 : 


Rl]interface GigabitEthernet 0/0 
R1-GigabitEthernet0/0]ip address 11.1.1.1 24 
Routerl] ospf 1 router- id 1.1.1.1 

Rl-ospf-1] area 0 

Rl- ospf- 1- area- 0.0.0.0] network 11.1.1.0 0.0.0.255 


R2]interface GigabitEthernet 0/0 

R2- GigabitEthernet0/0]ip address 11.1.1.2 24 
R2- GigabitEthernet0/0]quit 

R2]interface GigabitEthernet 0/1 

R2- GigabitEthernet0/1l]ip address 11.2.1.1 24 


R2-ospf- 1] area 0 
R2- ospf- 1- area- 0.0.0.0] network 11.1.1.0 0.0.0.255 








WA 5 HEALE M] 


[R2- ospf- 1- area- 0.0.0.0] quit 
[R2- ospf£- 1] area 1 

[R2- ospf- 1- area- 0.0.0.1] network 11.2.1.0 0.0.0.255 
[R2- ospf- l-area- 0.0.0.1] vlink- peer 3.3.3.3 

[R2- ospf- l-area- 0.0.0.1] quit 


[R3]interface GigabitEthernet 0/1 

[R3- GigabitEthernet0/1]ip address 11.2.1.2 24 

[R3- GigabitEthernet0/1] quit 

[R3] interface GigabitEthernet 0/2 

[R3- GigabitEthernet0/2]ip address 11.3.1.2 24 

[R3] ospf 1 router- id 3.3.3.3 

[R3- ospf- 1] area 1 

[R3- ospf- 1- area- 0.0.0.1] network 11.2.1.0 0.0.0.255 
[R3- ospf- 1- area- 0.0.0.1] vlink- peer 2.2.2.2 

[R3- osp£- 1- area- 0.0.0.1] quit 

[R3- ospf- 1] area 2 

[R3- ospf- 1- area- 0.0.0.2] network 10.3.1.0 0.0.0.255 
[R3- ospf- 1- area- 0.0.0.2] quit 


[R4]interface GigabitEthernet 0/2 

[R4- GigabitEthernet0/2]ip address 11.3.1.1 24 

[R4] ospf 1 router- id 4.4.4.4 

[R4- ospf- 1] area 2 

[R4- ospf- l- area- 0.0.0.2] network 11.3.1.0 0.0.0.255 
[R4- ospf- 1- area- 0.0.0.2] quit 


实验 结果 如 下 : 


[R1]display ospf routing 

OSPF Process 1 with Router ID 1.1.1.1 

Routing Table 

Topology base (MTID 0) 

Routing for network 

Destination Cost Type NextHop AdvRouter Area 
11.1.1.0/24 1 Transit 0.0.0.0 1.1.1.1 0.0.0.0 
11.2.1.0/24 z Inter 321.1.1.2 2.2.2. 0.0.0.0 
11.3.1.0/24 3 Inter E E E 3.3.3.3 0.0.0.0 


Total nets: 
Intra area: 


New 


Inter area: 
ASE: 0 
NSSA: 0 
[R2]display ospf routing 

OSPF Process 1 with Router ID 2.2.2.2 
Routing Table 

Topology base (MTID 0) 

Routing for network 
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Destination Cost Type NextHop 
11.1.1.0/24 1 Transit 
11.2.1.0/24 1 Transit 

11.3.1.0/24 2 Inter 


Total nets: 3 

Intra area: 2 

Inter area: 1 

ASE: 0 

NSSA: 0 

[R3]display ospf routing 

OSPF Process 1 with Router ID 3.3.3.3 
Routing Table 

Topology base (MTID 0) 

Routing for network 


Destination Cost Type NextHop 
11.1.1.0/24 2 Transit 11:2.1.1 
11.2.1.0/24 1 Transit 0.0.0.0 
11.3.1.0/24 L£ Transit 0.0.0.0 


Total nets: 3 

Intra area: 3 

Inter area: 0 

ASE: 0 

NSSA: 0 

[R4]display ospf routing 

OSPF Process 1 with Router ID 4.4.4.4 
Routing Table 

Topology base (MTID 0) 

Routing for network 


Destination Cost Type NextHop 
11.1.1.0/24 3 Inter B32 
11.2.1.0/24 2 Inter 11.3.1.2 
11.3.1.0/24 1 Transit 0.0.0.0 


Total nets: 3 
Intra area: 1 
Inter area: 2 
ASE: 0 

NSSA: 0 





AdvRouter 
1.1.1.1 
2:2.2.2 
3.35353 


AdvRouter 
2:2:2.2 


2.2.2.2 


3.3.3.3 


AdvRouter 
3.3.3.3 
3:3:3.3 
3.3.3.3 


Area 
0.0.0. 
0.0.0. 
0.0.0. 


Area 
0.0.0. 
0.0.0. 
0.0.0. 


0 
1 


2 
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61 网 络 地址 转换 简介 


网 络 地 址 转换 (Network Address Translation. NAT) 是 将 IP 数据 报 文 头 中 的 IP 地 
址 转换 为 另 一 个 IP 地 址 的 过 程 。 目 的 是 通过 使 用 少量 公有 IP 地 址 来 表示 众多 私有 IP 
地 址 ,减少 公有 IP 地 址 的 使 用 。 


6.1.1 网 络 地 址 转换 的 类 型 


网 络 地 址 转换 的 类 型 可 分 为 静态 NAT „325 NAT 和 端口 多 路 复 用 。 

CD 静态 NAT: 是 指 将 内 部 网 络 的 私有 TP 地 址 和 公有 IP 地 址 进行 一 对 一 的 映射 。 
使 用 静态 NAT, 可 以 实现 内 部 网 络 对 外 部 网 络 的 访问 。 

(2) 动态 NAT: 能 将 未 注册 的 IP 地 址 映射 到 注册 IP 地 址 池 中 的 地 址 ,但 这 样 映射 
AY IP 地址 是 随机 ,不 确定 的 。 动 态 NAT 可 以 使 用 多 个 合法 的 外 部 地 址 集 。 

(3) 端口 多 路 复 用 : 适合 利用 源 端口 将 多 个 未 注册 IP 地 址 映射 到 一 个 注册 IP 地 址 ， 
也 就 是 说 ,内 部 网 络 的 所 有 主机 均 可 共享 一 个 合法 外 部 IP 地 址 实现 对 Internet 的 访问 ， 
从 而 可 以 最 大 限度 地 节约 IP 地 址 资源 。 


6.1.2 什么 情况 下 使 用 NAT 
。 当 公 网 不 够 IP 用 时 。 
e 当 换 了 ISP 时 ,由 于 网 络 大 而 不 易 改 IP, 所 以 暂时 用 NAT EMI. 


。 当 两 个 网 络 有 相同 地 址 时 ,对 TCP 流量 做 负载 均衡 。 
* 为 避免 来 自 Internet 的 攻击 ,隐藏 网 络 内 部 的 所 有 主机 。 


6.1.3 NAT 的 配置 命令 


表 6-1 所 示 是 配置 NAT 时 所 需 用 到 的 一 些 命令 。 
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表 6-1 NAT 的 配置 命令 

















操作 命令 操作 说 明 
system-view 进入 系统 界面 
nat static outbound X. X. X. X X. X. X. X | 配置 一 对 一 静态 地 址 转换 映射 
nat static enable 开启 静态 NAT 
nat address-group 创建 一 个 NAT 地 址 组 ,并 进入 NAT 地 址 组 视图 
address 添加 地 址 组 成 员 





natmapping-behavior 


配置 PAT 方式 地 址 转换 的 模式 





endpoint-independent 


实验 1 配置 静态 NAT 


实验 目的 : 掌握 静态 NAT 的 配置 方法 。 

实验 器 材 : PC 一 台 、H3C MSR36-20 一 台 、 外 部 服务 器 一 台 。 

实验 要 求 : 内 部 网 络 用 户 (IP 地 址 为 11. 110. 11. 10/24) 使 用 外 网 地 址 202. 20. 1. 101 
访问 Internet, 


实验 拓扑 : 静态 NAT 的 配置 拓扑 图 如 图 6-1 所 示 。 


11.110.11.2/24 


(| 202.20.1.1/24 
E GEO GE 0/0 ESE GE 0/1 
PC MSR36-20 Server 


图 6-1 静态 NAT 的 配置 拓扑 图 








实验 步骤 如 下 : 


Router]interface GigabitEthernet 0/0 

Router- GigabitEthernet0/0]ip address 11.110.11.11 24 

Router]interface GigabitEthernet 0/1 

Router- GigabitEthernet0/1]ip address 202.20.1.1 24 

Router]nat static outbound 11.110.11.10 202.20.1.101 

// 配 置 内 网 TP Hb hk 11.110.11.10 到 外 网 地 址 202.20.1.101 之 间 的 一 对 一 静态 地 址 转换 映射 
Router]interface GigabitEthernet 0/1 

Router- GigabitEthernet0/1]nat static enable 


// 使 配置 的 静态 地 址 转换 在 GigabitEthernet 0/1 接 口上 生效 
实验 结果 如 下 : 





Router]display nat 

static Static NAT mappings: 

Totally 1 outbound static NAT mappings 
IP- to- IP; 
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Local IP 5. 011,110.11.10 

Global IP : 202.20.1.101 

Config status: Active 

Interfaces enabled with static NAT: Totally 1 interfaces enabled with static NAT 
Interface: GigabitEthernet0/1 

Config status: Active 
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IPv6 Internet Protocol Version 6 ,互联 网 协议 版 本 6) 是 网 络 层 协议 的 第 二 代 标 准 协 
议 , 也 被 称 为 IPng (IP Next Generation ,下 一 代 互 联网 协议 ), 它 是 IETF (Internet 
Engineering Task Force, 互 联网 工程 任务 组 ) 设 计 的 一 套 规范 ,是 IPv4 的 升级 版 本 。 
IPv6 和 IPv4 之 间 最 显著 的 区 别 为 IP 地 址 的 长 度 从 32 比特 增加 到 128 比特 。 


6.2.1 IPv6 协议 的 特点 


IPv6 协议 有 以 下 特点 。 

CD 简化 的 报 文 头 格 式 。 通 过 将 IPv4 报 文 头 中 的 某 些 字段 裁减 或 移入 扩展 报 文 头 ， 
减 小 了 IPv6 基本 报 文 头 的 长 度 。IPv6 使 用 固定 长 度 的 基本 报 文 头 ,从 而 简化 了 转发 设 
备 对 IPv6 报 文 的 处 理 , 提 高 了 转发 效率 。 尽 管 IPv6 地 址 长 度 是 IPv4 地 址 长 度 的 四 倍 ， 
但 IPv6 基本 报 文 头 的 长 度 只 有 40 字 节 ,为 IPv4 报 文 头 长 度 (不 包括 选项 字段 ) 的 两 倍 。 

(2) 充足 的 地 址 空间 。IPv6 的 源 地 址 与 目的 地 址 长 度 都 是 128 比特 (16 字 节 )。 它 
可 以 提供 超过 3.4X1038 种 可 能 的 地 址 空间 ,完全 可 以 满足 多 层次 的 地 址 划分 需要 ,以 及 
公有 网 络 和 机 构 内 部 私有 网 络 的 地 址 分 配 。 

(3) 层次 化 的 地 址 结构 。IPv6 的 地 址 空间 采用 了 层次 化 的 地 址 结构 ,有 利于 路 由 快 
速 查找 ,同时 可 以 借助 路 由 聚合 ,有 效 减少 IPv6 路 由 表 占 用 的 系统 资源 。 

(4) 地 址 自动 配置 。 为 了 简化 主机 配置 ,IPv6 支持 有 状态 地 址 配置 和 无 状态 地 址 配 
置 : 有 状态 地 址 配置 是 指 从 服务 器 (如 DHCPv6 服务 器 ) 获 取 IPv6 地 址 及 相关 信息 ;无 状 
态 地 址 配置 是 指 主机 根据 自己 的 数据 链 路 层 地 址 及 路 由 器 发 布 的 前 级 信息 自动 配置 
IPv6 地 址 及 相关 信息 。 同 时 ,主机 也 可 根据 自己 的 数据 链 路 层 地 址 及 默认 前 级 (FE80: :/ 
10) 形 成 链 路 本 地 地 址 ,实现 与 本 链 路 上 其 他 主机 的 通信 。 

(5) 内 置 安全 性 。IPv6 将 IPSec 作为 它 的 标准 扩展 头 , 可 以 提供 端 到 端的 安全 特性 。 
这 一 特性 也 为 解决 网 络 安全 问题 提供 了 标准 ,并 提高 了 不 同 IPv6 应 用 之 间 的 互 操作 性 。 

(6) 支持 QoS。IPv6 报 文 头 的 流标 签 (Flow Label) 字 段 实 现 流量 的 标识 ,允许 设备 
对 某 一 流 中 的 报 文 进行 识别 并 提供 特殊 处 理 。 

(7) 增强 的 邻居 发 现 机 制 。IPv6 的 邻居 发 现 协议 是 通过 一 组 ICMPv6 (Internet Control 
Message Protocol for IPv6 ,IPv6 的 互联 网 控制 报 文 协议 ) 消 息 实现 的 ,管理 着 邻居 节点 间 ( 同 
一 链 路 上 的 节点 ) 信 息 的 交互 。 它 代替 了 ARP(Address Resolution Protocol, 地 址 解析 协 
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W) ICMPv4 路 由 器 发 现 和 ICMPv4 重 定向 消息 ,并 提供 了 一 系列 其 他 功能 。 

(8) 灵活 的 扩展 报 文 头 。IPv6 取消 了 IPv4 报 文 头 中 的 选项 字段 ,并 引入 了 多 种 扩展 
报 文 头 ,在 提高 处 理 效率 的 同时 还 大 大 增强 了 IPv6 的 灵活 性 ,为 IP 协议 提供 了 良好 的 扩 
展 能 力 。IPv4 报 文 头 中 的 选项 字段 最 多 只 有 40 字 节 ,而 IPv6 扩展 报 文 头 的 大 小 只 受到 
IPv6 报 文大 小 的 限制 。 


6.2.2 IPv6 地 址 


1. IPv6 地 址 概述 


IPv6 地 址 可 以 表示 为 以 骨 号 (:) 分 隔 的 一 连 串 16 比特 的 十 六 进 制 数 。 每 个 IPv6 地 
址 被 分 为 8 组 ,每 组 的 16 比特 用 4 个 十 六 进 制 数 表示 ,组 和 组 之 间 用 冒号 隔 开 , 比 如 : 


2001:0000:130F:0000:0000:09C0:876A:130B 


为 了 简化 IPv6 地 址 的 表示 ,对 于 IPv6 地 址 中 的 0 可 以 有 下 面 的 处 理 方式 ; 每 组 中 
的 前 导 0 可 以 省 略 , 即 上 述 地 址 可 写 为 “2001:0:130F:0:0:9C0:876A:130B”。 如 果 地 址 
中 包含 一 组 或 连续 多 组 均 为 0 的 组 , 则 可 以 用 双 骨 号 “::” 代 替 , 即 上 述 地 址 可 写 为 


2001:0:130F::9C0:876A:130B 


IPv6 地 址 由 两 部 分 组 成 : 地 址 前 级 与 接口 标识 。 其 中 ,地 址 前 级 相当 于 IPv4 地 址 中 
的 网 络 号 码 字 段 部 分 ;接口 标识 相当 于 IPv4 地 址 中 的 主机 号 码 部 分 。 

地 址 前 组 的 表示 方式 为 IPv6 地 址 /前 缀 长度。 其 中 ,前缀 长 度 是 一 个 十 进 制 数 ,表示 
IPv6 地 址 最 左边 多 少 位 为 地 址 前 缀 。 


2. IPv6 地 址 的 分 类 


IPv6 主要 有 三 种 类 型 的 地 址 : 单 播 地 址 、 组 播 地 址 和 任 播 地 址 。 

(1) 单 播 地 址 : 用 来 唯一 标识 一 个 接口 ,类似 于 IPv4 的 单 播 地 址 。 发 送 到 单 播 地 址 
的 数据 报 文 将 被 传送 给 此 地 址 所 标识 的 接口 。 

(2) 组 播 地 址 : 用 来 标识 一 组 接口 (通常 这 组 接口 属于 不 同 的 节点 ) ,类似 于 IPv4 的 
组 播 地 址 。 发 送 到 组 播 地 址 的 数据 报 文 被 传送 给 此 地 址 所 标识 的 所 有 接口 。 

(3) 任 播 地 址 : 用 来 标识 一 组 接口 (通常 这 组 接口 属于 不 同 的 节点 )。 发 送 到 任 播 地 
址 的 数据 报 文 被 传送 给 此 地 址 所 标识 的 一 组 接口 中 距离 源 节点 最 近 ( 根 据 使 用 的 路 由 协 
议 进行 度量 ) 的 一 个 接口 。IPv6 中 没有 广播 地 址 ,广播 地 址 的 功能 通过 组 播 地 址 实现 。 


3. 单 播 地 址 的 类 型 


IPv6 单 播 地 址 的 类 型 有 多 种 ,包括 全 球 单 播 地 址 、 链 路 本 地 地 址 等 。 

(1) 全 球 单 播 地 址 : 等 同 于 IPv4 公 网 地 址 ,提供 给 网 络 服务 提供 商 。 这 种 类 型 的 地 
址 允许 路 由 前 缀 的 聚合 ,从 而 限制 了 全 球 路 由 表 项 的 数量 。 

(2) 链 路 本 地 地 址 : 用 于 邻居 发 现 协议 和 无 状态 自动 配置 中 链 路 本 地 上 节点 之 间 的 
58 


项 目 6 三 层 网 络 技术 





通信 。 使 用 链 路 本 地 地 址 作为 源 或 目的 地 址 的 数据 报 文 不 会 被 转发 到 其 他 链 路 上 。 

(3) 环 回 地 址 : 单 播 地 址 “0:0:0:0:0:0:0:1?( 简 化 表示 为 “::12”) 称 为 环 回 地 址 ,不 
能 分 配给 任何 物理 接口 。 它 的 作用 与 在 IPv4 中 的 环 回 地 址 相同 , 即 节点 用 来 给 自己 发 送 
IPv6 JR XC. 

(4) 未 指定 地 址 : 地 址 * : :” 称 为 未 指定 地 址 ,不 能 分 配给 任何 节点 。 在 节点 获得 有 
效 的 IPv6 地 址 之 前 ,可 在 发 送 的 IPv6 报 文 的 源 地 址 字段 填 入 该 地 址 ,但 不 能 作为 IPv6 
报 文中 的 目的 地 址 。 


4. IEEE EUI-64 格式 的 接口 标识 符 


IPv6 单 播 地 址 中 的 接口 标识 符 用 来 标识 链 路 上 的 一 个 唯一 的 接口 。 目 前 ,IPv6 单 播 
地 址 基本 上 都 要 求 接口 标识 符 为 64 位 。 

不 同 接口 的 IEEE EUI-64 格式 的 接口 标识 符 的 生成 方法 不 同 , 分 别 介绍 如 下 。 

(D 所 有 IEEE 802 接口 类 型 (例如 ,以 太 网 接口 .VLAN 接口 ): IEEE EUI-64 格式 
的 接口 标识 符 是 从 接口 的 数据 链 路 层 地 址 (MAC 地 址 ) 变 化 而 来 的 。IPv6 地 址 中 的 接口 
标识 符 是 64 位 ,而 MAC 地 址 是 48 位 ,因此 需要 在 MAC 地 址 的 中 间 位 置 ( 从 高 位 开始 的 
第 24 位 后 ) 插 入 十 六 进 制 数 FFFE(1111111111111110)。 为 了 使 接口 标识 符 的 作用 范围 
与 原 MAC 地 址 一 致 ,还 要 将 Universal/Local(U/L) 位 (从 高 位 开始 的 第 7 位 ) 进 行 取 反 
操作 。 最 后 得 到 的 这 组 数 就 作为 IEEE EUI-64 格式 的 接口 标识 符 。 

(2) Tunnel 接口 : IEEE EUI-64 格式 的 接口 标识 符 的 低 32 位 为 Tunnel 接口 的 源 
IPv4 地 址 ,ISATAP 隧道 的 接口 标识 符 的 高 32 位 为 0000:5EFE, 其 他 隧道 的 接口 标识 符 
的 高 32 位 为 全 0。 

(3) 其 他 接口 类 型 (例如 ,Serial 接口 ): IEEE EUT-64 格式 的 接口 标识 符 由 设备 随机 
生成 。 


6.2.3 IPv6 的 配置 命令 


表 6-2 所 示 是 配置 IPv6 时 所 需 用 到 的 一 些 命令 。 


表 6-2 IPv6 的 配置 命令 


























操作 命令 操作 说 明 
system-view 进入 系统 界面 
int number 进入 端口 配置 界面 
ipv6 address X ;X ;; X ;X /m 设置 IPv6 地 址 
undo ipv6 nd ra halt 允许 其 发 布 RA 消息 
ipv6 pathmtu 配置 指定 IPv6 地 址 对 应 的 静态 PMTU fii 
ipv6 pathmtu age time 配置 PMTU 老化 时 间 
ipv6 fast-forwarding IPv6 快速 转发 
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实验 2 配置 Dé 


实验 目的 : 掌握 IPv6 的 配置 方法 

实验 器 材 : H3C MSR36-20 两 台 、PC 一 台 。 

实验 要 求 : R2 有 可 以 到 PC 的 路 由 。 

在 Host 上 安装 IPv6 ,根据 IPv6 邻居 发 现 协 议 自 动 配置 IPv6 地 址 ,有 可 以 到 R2 的 
路 由 。 

实验 拓扑 : IPv6 地 址 的 配置 拓扑 图 如 图 6-2 所 示 。 


2001::1/64 FIR) 3001::1/64 3001::2/64 (ZN 
E] GE 0/1 GE 0/1 GE 02 GE 02 Kach 


PC | RI R2 
图 6-2 IPv6 地 址 的 配置 拓扑 图 





实验 步骤 如 下 : 


R1] interface gigabitethernet 0/2 

Rl-GigabitEthernet0/2 ipv6 address 3001: :1/64 // 设 置 1Pv6 的 地 址 
Rl-GigabitEthernet0/2] quit 

R1] interface gigabitethernet 0/1 

Rl-GigabitEthernet0/1] ipv6 address 2001::1/64 

R1-GigabitEthernet0/1] undo ipvé nd ra halt // 允 许 其 发 布 RA 消息 
R1- GigabitEthernet0/1] quit 


R2] interface gigabitethernet 0/2 
R2-GigabitEthernet0/2] ipv6 address 3001: :2/64 
R2- GigabitEthernet0/2] quit 
R2] ipv6 route- static 2001:: 64 3001::1 
// 配 置 ITPv6 静 态 路 由 ,该 路 由 的 目的 地 址 为 “2001::/64”, 下 一 跳 地 址 为 “3001::1” 
R1] display ipv6 neighbors interface gigabitethernet 0/1 
Type: S-Static D- Dynamic O- Openflow I- Invalid IPv6 
Address Link Layer VID Interface State T Age 
FE80: :215:E9FF:FEA6:7D14 0015- e9a6- 7d14 N/A GE0/1 STALE D 1238 
2001: :15B:E0EA:3524:E791 0015- e9a6- 7414 N/A GE0/1 STALE D 1248 


通过 上 面 的 信息 可 以 知道 , Host 上 获得 的 IPv6 45 Ek Hd Hb hk 7g “2001: : 15B: 
EOEA:3524:E791”。 
实验 结果 如 下 : 








[R1] display ipv6 interface gigabitethernet 0/2 
GigabitEthernet0/2 current state: UP 


Line protocol current state: UP 


60 





ane zanaat] 


IPv6 is enabled, link- local address is FE80::20F:E2FF:FE00:2 

Global unicast address (es) : 

3001::1, subnet is 3001: :/64 
Joined group address (es) : 

FF02::1 

FF02::2 

FF02::1:FF00:1 

FF02::1:FF00:2 
MTU is 1500 bytes 
ND DAD is enabled, number of DAD attempts: 1 
ND reachable time is 30000 milliseconds 
ND retransmit interval is 1000 milliseconds 
Hosts use stateless autoconfig for addresses 

IPv6 Packet statistics: 

InReceives: 25829 
InTooShorts: 0 
InTruncatedPkts: 
InHopLimitExceeds: 
InBadHeaders: 
InBadOptions: 
ReasmReqds : 
ReasmOKs: 
InFragDrops: 
InFragTimeouts: 
OutFragFails: 


e ee e oo oos e e 


InUnknownProtos: 
InDelivers: 47 
OutRequests: 89 
OutForwDatagrams: 48 
InNoRoutes: 0 
InTooBigErrors: 0 
OutFragOKs: 0 
OutFragCreates: 0 
InMcastPkts: 6 
InMcastNotMembers : 25747 
OutMcastPkts: 48 
InAddrErrors: 0 
InDiscards: 0 
OutDiscards: 0 
[R1] display ipv6 interface gigabitethernet 0/1 
GigabitEthernet0/1 current state: UP 
Line protocol current state: UP 
IPv6 is enabled, link-local address is FE80::20F:E2FF:FE00:1C0 
Global unicast address (es): 
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2001::1，subnet is 2001::/64 
Joined group address (es) : 
FF02::1 
FF02::2 
FF02::1:FF00:1 
FF02::1:FF00:1C0 
MTU is 1500 bytes 
ND DAD is enabled, number of DAD attempts: 1 
ND reachable time is 30000 milliseconds 
ND retransmit interval is 1000 milliseconds 
ND advertised reachable time is 0 milliseconds 
ND advertised retransmit interval is 0 milliseconds ND 
router advertisements are sent every 600 seconds ND 
router advertisements live for 1800 seconds 
Hosts use stateless autoconfig for addresses 
IPv6 Packet statistics: 


InReceives: 272 
InTooShorts: 0 
InTruncatedPkts: 0 
InHopLimitExceeds: 0 
InBadHeaders: 0 
InBadOptions: 0 
ReasmReqds : 0 
ReasmOKs: 0 
InFragDrops: 0 
InFragTimeouts: 0 
OutFragFails: 0 
InUnknownProtos: 0 
InDelivers: 159 
OutRequests: 1012 
OutForwDatagrams: 35 
InNoRoutes: 0 
InTooBigErrors: 0 
OutFragOKs: 0 
OutFragCreates: 0 
InMcastPkts: 79 
InMcastNotMembers: 65 
OutMcastPkts: 938 
InAddrErrors: 0 
InDiscards: 0 
OutDiscards: 0 


[R2] display ipv6 interface gigabitethernet 0/2 
GigabitEthernet0/2 current state: UP 


Line protocol current state: UP 
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IPv6 is enabled, link- local address is FE80::20F:E2FF:FE00:1234 
Global unicast address (es) : 
3001::2, subnet is 3001: :/64 
Joined group address (es) : 
FF02::1 
FF02::2 
FF02::1:FF00:1 
FF02::1:FF00:1234 
MTU is 1500 bytes 
ND DAD is enabled, number of DAD attempts: 1 
ND reachable time is 30000 milliseconds 
ND retransmit interval is 1000 milliseconds 
Hosts use stateless autoconfig for addresses 
IPv6 Packet statistics: 
InReceives: 117 
InTooShorts: 0 
InTruncatedPkts: 0 
InHopLimitExceeds: 0 
InBadHeaders: 0 
InBadOptions: 0 
ReasmReqds : 0 
ReasmOKs: 0 
InFragDrops: 0 
InFragTimeouts: 0 
OutFragFails: 0 
InUnknownProtos: 0 
InDelivers: 117 
OutRequests: 83 
OutForwDatagrams: 
InNoRoutes: 


OutFragOKs: 
OutFragCreates: 
InMcastPkts: 
InMcastNotMembers: 


0 
0 
InTooBigErrors: 0 
0 
0 
2 


e 


OutMcastPkts: 


0 
1 
InAddrErrors: 0 
InDiscards: 0 

0 


OutDiscards: 
用 R2 测试 是 否 可 以 ping 通 。 


[R2] ping ipv6 -c 1 3001::1 
Ping6 (56 data bytes) 3001::2 -->3001::1, press CTRL C to break 
56 bytes from 3001::1, icmp seq-0 hlim= 64 time- 4.404 ms 
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—-- Ping6 statistics for 3001: :1 —- 


1 packet (s) transmitted, 1 packet(s) received, 0.0$ packet loss round- 


trip min/avg/max/std- dev = 4.404/4.404/4.404/0. 


000 ms 


[RouterB] ping ipv6 -c 1 2001::15B:E0EA:3524:E791 
Ping6(56 data bytes) 3001::2 — » 2001::15B:E0EA:3524:E791, press CTRL C to break 
56 bytes from 2001::15B:E0EA:3524:E791, icmp seq=0 hlim- 64 time- 5.404 ms 


--- Ping6 statistics for 2001: :15B:EOEA:3524:E791 —- 
1 packet (s) transmitted, 1 packet (s) received, 0.0$ packet loss round- 


trip min/avg/max/std- dev = 5.404/5.404/5.404/0. 


000 ms 


实验 3 配置 IPv6 快 速 转发 


实验 目的 : 掌握 IPv6 快速 转发 的 配置 方法 。 
实验 器 材 ， H3C MSR36-20 三 台 。 
实验 要 求 : 在 R2 上 实现 IPv6 的 快速 转发 。 


实验 拓扑 : IPv6 快速 转发 的 配置 拓扑 图 如 图 6-3 所 示 。 





E 2002::1/64 2002::2/64 Ke 
Ia GE 0/1 GE 01 Ka 


RI R2 





2001::2/64 2001::1/64 e 
GE 0/2 GE 02 KAJ 


R3 


图 6-3 IPv6 快速 转发 的 配置 拓扑 图 


实验 步骤 如 下 : 


R1] interface gigabitethernet 0/1 


R1-GigabitEthernet2/1/1] quit 
R1] ipv6 route- static 2001:: 64 2002:: 


N 


interface gigabitethernet 0/2 


- GigabitEthernet0/2] quit 


R3 
R3 
R3 
R3] ipv6 route- static 2002:: 64 2001: 





ipv6 fast- forwarding 

interface gigabitethernet 0/1 

- GigabitEthernet0/1] ipv6 address 
-GigabitEthernet0/1] quit 





interface gigabitethernet 0/2 





SBBBEBE 


- GigabitEthernet0/2] quit 


Rl-GigabitEthernet0/1] ipv6 address 2002::1 64 


// 配 置 静态 路 由 


- GigabitEthernet0/2] ipv6 address 2001::1 64 


// 开 启 Teve 快速 转发 功能 





-GigabitEthernet0/2] ipv6 address 2001::2 64 





实验 结果 如 下 : 
[R2] display ipv6 fast- forwarding cache 
No IPv6 fast- forwarding entries 


// 此 时 ,R2 的 IPv6 快 速 转发 表 并 未 建立 


[R1] ping ipv6 2001::1 


PING 2001::1 : 56 data bytes, press CTRL C to break 


Reply from 2001::1 


bytes= 56 Sequence= l hop limit- 64 time =69 ms 


Reply from 2001::1 


bytes= 56 Sequence-2 hop limit- 64 time =l ms 


Reply from 2001::1 


bytes= 56 Sequence= 3 hop limit- 64 time =l ms 


Reply from 2001::1 


bytes= 56 Sequence= 4 hop limit- 64 time =l ms 


Reply from 2001::1 


bytes= 56 Sequence= 5 hop limit- 64 time =l ms 


---2001::1 ping statistics --- 
5 packet (s) transmitted 
5 packet (s) received 
0.00% packet loss 
round- trip min/avg/max = 1/14/69 ms 


[R2] display ipv6 fast- forwarding cache 


Total number of IPv6 fast- forwarding items: 


SrcIP: 2002::1 
DstIP: 2001::1 
Src port: 129 
Dst port: 0 


Protocol: 58 

VEN instance: N/A 

Input interface: GE0/1 
Output interface: GE0/2 
2001::1 


DstIP: 

2002::1 

Src port: 128 

Dst port: 0 

Protocol: 58 

VEN instance: N/A 

Input interface: GE0/2 
Output interface: GE0/1 


// 现 在 ,IPv6 快 速 转发 表 已 建立 


N 
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63 路 由 策略 


路 由 策略 是 为 了 改变 网 络 流量 所 经 过 的 途径 而 修改 路 由 信息 的 技术 ,主要 通过 改变 
路 由 属性 (包括 可 达 性 ) 来 实现 。 它 是 一 种 比 基 于 目标 网 络 进 行路 由 更 加 灵活 的 数据 包 路 
由 转发 机 制 。 应 用 了 路 由 策略 ,路 由 器 将 通过 路 由 图 决定 如 何 对 需要 路 由 的 数据 包 进 行 
处 理 ,路 由 图 决定 了 一 个 数据 包 的 下 一 跳 转发 路 由 器 。 路 由 策略 的 种 类 大 体 上 分 为 两 种 : 
一 种 是 根据 路 由 的 目的 地 址 来 进行 的 策略 , 称 为 目的 地 址 路 由 ; 另 一 种 是 根据 路 由 源 地 址 
来 进行 策略 实施 的 , 称 为 源 地 址 路 由 。 随 着 路 由 策略 的 发 展 ,现在 有 了 第 三 种 路 由 方式 ; 
智能 均衡 的 策略 方式 。 


6.3.1 路 由 策略 的 应 用 


路 由 策略 的 应 用 灵活 广泛 ,主要 有 下 面 几 种 方式 。 

CD 控制 路 由 的 发 布 。 路 由 协议 在 发 布 路 由 信息 时 ,通过 路 由 策略 对 路 由 信息 进行 
过 滤 , 只 发 布 满足 条 件 的 路 由 信息 。 

(2) 控制 路 由 的 接收 。 路 由 协议 在 接收 路 由 信息 时 ,通过 路 由 策略 对 路 由 信息 进行 
过 滤 , 只 接收 满足 条 件 的 路 由 信息 。 可 以 控制 路 由 表 项 的 数量 ,提高 网 络 的 安全 性 。 

G) 管理 引入 的 路 由 。 路 由 协议 在 引入 其 他 路 由 协议 发 现 的 路 由 时 ,通过 路 由 策略 
只 引入 满足 条 件 的 路 由 信息 ,并 控制 所 引入 的 路 由 信息 的 某 些 属性 ,以 使 其 满足 本 协议 的 

(4) 设置 路 由 的 属性 。 对 通过 路 由 策略 的 路 由 设置 相应 的 属性 。 


6.3.2 过 滤器 





过 滤器 可 以 看 作 路 由 策略 过 滤 路 由 的 工具 ,单独 配置 的 过 滤器 没有 任何 过 滤 效 果 , 只 
有 在 路 由 协议 的 相关 命令 中 应 用 这 些 过 滤器 ,才能 够 达到 预期 的 过 滤 效 果 。 路 由 协议 可 
以 引用 访问 控制 列表 、 地 址 前 缀 列表 、AS 路 径 访问 列表 、 团 体 属性 列表 、 扩 展 团体 属性 列 
表 、MAC 地 址 列表 和 路 由 策略 七 种 过 滤器 。 


1. 访问 控制 列表 


访问 控制 列表 包括 针对 IPv4 报 文 的 ACL 和 针对 IPv6 报 文 的 ACL。 用 户 在 定义 
ACL 时 可 以 指定 IP(v6) 地 址 和 子 网 范围 ,用 于 匹配 路 由 信息 的 目的 网 段 地 址 或 下 一 跳 
地 址 。 


2. 地 址 前 缀 列表 


地 址 前 缀 列表 包括 IPv4 地 址 前 级 列表 和 IPv6 地 址 前 级 列表 。 地 址 前 缀 列表 的 作 
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用 类 似 于 ACL, 但 比 它 更 为 灵活 , 且 更 易于 用 户 理 解 。 使 用 地 址 前 缀 列表 过 滤 路 由 信 
息 时 ,其 匹配 对 象 为 路 由 信息 的 目的 地 址 信息 域 ;另外 ,用 户 可 以 指定 gateway 选项 , 指 
明 只 接收 某 些 路 由 器 发 布 的 路 由 信息 。 一 个 地 址 前 缀 列表 由 前 缀 列表 名 标识 。 每 个 
前 级 列表 可 以 包含 多 个 表 项 ,每 个 表 项 可 以 独立 指定 一 个 网 络 前 级 形式 的 匹配 范围 ， 
并 用 一 个 索引 号 标识 ,索引 号 指明 了 在 地 址 前 缀 列表 中 进行 匹配 检查 的 顺序 。 每 个 表 
项 之 间 是 “或 ”的 关系 ,在 匹配 的 过 程 中 ,路 由 器 按 升序 依次 检查 由 索引 号 标识 的 各 个 
表 项 ,只 要 有 某 一 表 项 满足 条 件 ,就 意味 着 通过 该 地 址 前 缀 列表 的 过 滤 ( 不 再 对 下 一 个 
表 项 进行 匹配 ) 。 


3. AS 路 径 访问 列表 (as-path) 


as-path 仅 用 于 BGP 路 由 的 过 滤 。BGP 的 路 由 信息 中 ,包含 有 自治 系统 路 径 域 。 
as-path 就 是 针对 自治 系统 路 径 域 指定 匹配 条 件 。 


4. 团体 属性 列表 (community-list) 


community-list 仅 用 于 BGP 路 由 的 过 滤 。BGP 的 路 由 信息 包 中 ,包含 一 个 
community 属性 域 , 用 于 标识 一 个 团体 。community-list 就 是 针对 团体 属性 域 指定 匹配 
条 件 。 


5. 扩展 团体 属性 列表 (extcommunity-list) 


extcommunity-list 仅 用 于 BGP 路 由 的 过 滤 。BGP 扩展 团体 属性 有 两 种 ,一 种 是 用 
于 VPN 的 RT(Route Target, 路 由 目标 ) 扩 展 团体 ; 另 一 种 则 是 SoO(Site of Origin. 源 站 
点 ) 扩 展 团 体 。 扩 展 团体 属性 列表 就 是 针对 这 两 种 属性 指定 匹配 条 件 。 


6. MAC 地 址 列表 (mac-list) 


mac-list 仅 用 于 EVI IS-IS, EVI IS-IS 的 表 项 中 包含 MAC 地 址 信息 ,mac-list 就 是 
针对 MAC 地 址 信息 的 匹配 条 件 。 一 个 MAC 地 址 列表 由 MAC 地 址 列表 名 标识 。 每 个 
MAC 地 址 列表 可 以 包含 多 个 表 项 ,每 个 表 项 可 以 独立 指定 一 个 MAC 地 址 形式 的 匹配 范 
围 ,并 用 一 个 索引 号 标识 ,索引 号 指明 了 在 MAC 地 址 列表 中 进行 匹配 检查 的 顺序 。 每 个 
表 项 之 间 是 “或 ”的 关系 ,匹配 过 程 同 前 面 讲 的 地 址 前 缀 列表 。 


7. 路 由 策略 


路 由 策略 是 一 种 比较 复杂 的 过 滤器 , 它 不 仅 可 以 匹配 路 由 信息 的 某 些 属性 ,还 可 以 在 
条 件 满足 时 改变 路 由 信息 的 属性 。 路 由 策略 可 以 使 用 前 面 几 种 过 滤器 定义 自己 的 匹配 规 
则 。 一 个 路 由 策略 可 以 由 多 个 节点 构成 ,每 个 节点 是 匹配 检查 的 一 个 单元 ,在 匹配 过 程 
中 ,系统 按 节点 序号 升序 依次 检查 各 个 节点 。 不 同 节点 间 是 “或 "的 关系 ,如 果 通 过 了 其 中 
一 个 节点 ,就 意味 着 通过 该 路 由 策略 ,不 再 对 其 他 节点 进行 匹配 (配置 了 continue 子 句 的 
情况 除外 )。 每 个 节点 对 路 由 信息 的 处 理 方式 由 匹配 模式 决定 。 匹 配 模式 分 为 permit 和 
deny 两 种 。 
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permit; 指定 节点 的 匹配 模式 为 允许 模式 。 当 路 由 信息 通过 该 节点 的 过 滤 后 ,将 执 
行 该 节点 的 apply 子 句 , 不 进入 下 一 个 节点 的 匹配 (配置 了 continue 子 句 的 情况 除外 ); 如 
果 路 由 信息 没有 通过 该 节点 过 滤 ,将 进入 下 一 个 节点 继续 匹配 。 

deny: 指定 节点 的 匹配 模式 为 拒绝 模式 (此 模式 下 apply 子 句 和 continue 子 句 不 会 
被 执行 )。 当 路 由 信息 通过 该 节点 的 过 滤 后 ,将 被 拒绝 通过 该 节点 ,不 进入 下 一 个 节点 的 
匹配 ;如 果 路 由 信息 没有 通过 该 节点 的 过 滤 ,将 进入 下 一 个 节点 继续 匹配 。 

每 个 节点 可 以 由 一 组 if-match apply 和 continue 子 句 组 成 。 

if-match FAJ: 定义 匹配 规则 ,匹配 对 象 是 路 由 信息 的 一 些 属性 。 同 一 节点 中 的 不 
I] if-match 子 句 是 “与 ”的 关系 ,只 有 满足 节点 内 所 有 if-match 子 句 指定 的 匹配 条 件 , 才 能 
通过 该 节点 的 匹配 。 

apply FAJ: 指定 动作 ,也 就 是 在 通过 节点 的 匹配 后 ,对 路 由 信息 的 一 些 属性 进行 设置 。 

continue 子 句 : 用 来 配置 下 一 个 执行 节点 。 当 路 由 成 功 匹配 当前 路 由 策略 节点 ( 必 
AŬ permit 节点 ) 时 ,可 以 指定 路 由 继续 匹配 同一 路 由 策略 内 的 下 一 个 节点 ,这 样 可 以 组 
合 路 由 策略 各 个 节点 的 if-match FAJA apply 子 句 , 增 强 路 由 策略 的 灵活 性 。 

if-match、apply 和 continue 子 句 可 以 根据 应 用 进行 设置 ,都 是 可 选 的 。 如 果 只 过 滤 
路 由 ,不 设置 路 由 的 属性 , 则 不 需要 使 用 apply 子 句 。 如 果 某 个 permit 节点 没有 配置 任何 
if-match 子 句 , 则 该 节点 匹配 所 有 的 路 由 。 通 常 在 多 个 deny 节点 后 设置 一 个 不 含 
if-match 子 句 和 apply FAJKY permit 节点 ,用 于 允许 其 他 的 路 由 通过 。 


6.3.3 路 由 策略 的 配置 命令 


K 6-3 所 示 是 配置 路 由 策略 时 所 需 用 到 的 一 些 命令 。 
表 6-3 路 由 策略 的 配置 命令 
操作 命令 操作 说 明 

system-view 进入 系统 界面 
route-policy name { deny | permit } node number 创建 路 由 策略 ,并 进入 该 路 由 策略 视图 
if-match ip X. X. X. X acl-number | prefix-list 配置 IPv4 路 由 信息 的 匹配 条 件 
if-match as-path number 配置 BGP 路 由 信息 的 AS 路 径 域 的 匹配 条 件 
apply ip-address next-hop X. X. X. X 

















配置 IPv4 路 由 信息 的 下 一 跳 地 址 


[public | vpn-instance name] 


apply ipv6 next-hop X:X::X:X/m 配置 IPv6 路 由 信息 的 下 一 跳 地 址 








实验 4 配置 PM 路 由 引入 路 由 策略 


实验 目的 : 掌握 IPv4 引入 路 由 策略 的 配置 方法 。 
实验 器 材 : H3C MSR36-20 三 台 。 
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实验 要 求 : R2 与 RI 之 间 通 过 OSPF 协议 交换 路 由 信息 ,与 R3 之 间 通 过 IS-IS 交换 
路 由 信息 。 

在 R2 上 配置 路 由 引入 ,将 IS-IS 路 由 引入 OSPF 中 去 ,并 同时 使 用 路 由 策略 设置 路 
由 的 属性 。 其 中 ,设置 172. 17. 1. 0/24 的 路 由 的 开销 为 100, 设 置 172. 17. 2. 0/24 的 路 由 
的 Tag 属性 为 20. 

实验 拓扑 : IPv4 引入 路 由 的 配置 拓扑 图 如 图 6-4 所 示 。 


PLAT aS 
` E ` 


,/ OSPF ` / RP \ 
/ N192.168.1.2/24 192.168.2.2/24/ ` 
/ 


! Y \ 
\ GE 0/l GE 02 / \ 





I 


I R2 





= GE an 
RI R3 172.17.3,1/24 
图 6-4 IPv4 引入 路 由 的 配置 拓扑 图 


实验 步骤 如 下 : 


[R3] interface GigabitEthernet 0/2 

[R3- GigabitEthernet0/2]ip address 192.168.2.1 24 
R3- GigabitEthernet0/2]quit 

R3]interface GigabitEthernet 5/0 

[R3- GigabitEthernet5/0]ip address 172.17.1.1 24 
R3- GigabitEthernet5/0]quit 

R3]interface GigabitEthernet 5/1 
R3-GigabitEthernet5/1]ip address 172.17.2.1 24 
[R3- GigabitEthernet5/1l]quit 

R3]interface GigabitEthernet 6/0 

R3- GigabitEthernet6/0]ip address 172.17.3.1 24 





R3] isis 

[R3- isis- 1] is- level level-2 

R3- isis- 1] network- entity 10.0000.0000.0001.00 
R3- isis- 1] quit 

[R3] interface gigabitethernet 0/2 
[R3- GigabitEthernet0/2] isis enable 
R3-GigabitEthernet0/2] quit 

[R3] interface gigabitethernet 5/0 
[R3- GigabitEthernet5/0] isis enable 
RouterC- GigabitEthernet5/0] quit 
R3] interface gigabitethernet 5/1 
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[R3- GigabitEthernet5/1] isis enable 
[R3- GigabitEthernet5/1] quit 

[R3] interface gigabitethernet 6/0 
[R3- GigabitEthernet6/0] isis enable 
[R3- GigabitEthernet6/0] quit 


[R1]interface GigabitEthernet 0/1 

[R1- GigabitEthernet0/1]ip address 192.168.1.1 24 
[R1] ospf 

[R1-ospf- 1] area 0 

[R1- ospf- 1- area- 0.0.0.0] network 192.168.1.0 0.0.0.255 
[R1-ospf- 1- area- 0.0.0.0] quit 

[R1- ospf- 1] quit 

[R2]interface GigabitEthernet 0/1 

[R2- GigabitEthernet0/1]ip address 192.168.1.2 24 
[R2- GigabitEthernet0/1]quit 

[R2]interface GigabitEthernet 0/2 

[R2- GigabitEthernet0/2]ip address 192.168.2.2 24 
[R2] isis 

[R2- isis- 1] is- level level-2 

[R2- isis- 1] network- entity 10.0000.0000.0002.00 
[R2- isis-1] quit 

[R2] interface gigabitethernet 0/2 

[R2- GigabitEthernet/00/2] isis enable 

[R2- GigabitEthernet0/2] quit 

[R2] ospf 

[R2- ospf- 1] area 0 

[R2- ospf- 1- area- 0.0.0.0] network 192.168.1.0 0.0.0.255 
[R2- osp£- 1- area- 0.0.0.0] quit 





[R2- ospf- 1] import- route isis 1 //f& OSPE 中 引入 Is- IS 路 由 
[R2- osp£- 1] quit 
[R2] acl number 2002 // 创 建 编号 为 2002 的 ACL 


[R2- acl- basic- 2002] rule permit source 172.17.2.0 0.0.0.255 
// 人 允许 172.17.2.0/24 的 路 由 通过 
[R2- acl- basic- 2002] quit 
[R2] ip prefix- list prefix-a index 10 permit 172.17.1.0 24 
// 创 建 名 为 prefix-a 的 地 址 前 级 列表 ,允许 IP 地 址 为 172.17.1.0 24 的 路 由 通过 
[R2] route- policy isis2ospf permit node 10 
// 创 建 路 由 策略 
[R2- route- policy- isis2ospf- 10] if-match ip address prefix- list prefix-a 
// 配 置 Teva 的 路 由 信息 
[R2- route- policy- isis2ospf-10] apply cost 100 
// 配 置 路 由 信息 的 开销 为 100 
[R2- route- policy- isis2ospf- 10] quit 
[R2] route- policy isis2ospf permit node 20 
[R2- route- policy- isis2ospf- 20] if- match ip address acl 2002 
[R2- route- policy- isis2ospf- 20] apply tag 20 
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// 建 立 标签 为 20 


R2- route- policy- isis2ospf- 20] quit 

R2] route- policy isis2ospf permit node 30 

R2- route- policy- isis2ospf- 30] quit 

R2] ospf 

R2-ospf- 1] import- route isis l route- policy isis2ospf 
// 路 由 引入 时 应 用 路 由 策略 

R2- ospf- 1] quit 


实验 结果 如 下 : 





R1] display ospf routing 


OSPF Process 1 with Router ID 192.168.1.1 
Routing Tables 
Routing for Network 


Destination Cost Type NextHop AdvRouter Area 
192.168.1.0/24 1 Transit 192.168.1.1 0.0.0.0 Routing for ASEs 
Destination Cost Type Tag NextHop AdvRouter 
172.17.1.0/24 100  Type2 1 192.168.1.2 192.168.2.2 
172.17.2.0/24 1 Type2 20 192.168.1.2 192.168.2.2 
172.17.3.0/24 1 Type2 1 192.168.1.2 192.168.2.2 


Total Nets: 4 
Intra Area: 1 Inter Area: 0 ASE: 3 NSSA: 0 


实验 5 IPv6 路 由 引入 路 由 策略 配置 


实验 目的 : 掌握 IPv6 引入 路 由 策略 的 配置 方法 。 

实验 器 材 : H3C MSR36-20 两 台 。 

实验 要 求 : 

CD RI 与 R2 通信 ,都 运行 RIPng 协议 。 

(2) 使 能 Router A 上 的 RIPng 协议 ,配置 三 条 静态 路 由 。 

CD 设置 在 引入 静态 路 由 时 应 用 路 由 策略 ,使 三 条 静态 路 由 部 分 引入 、 部 分 被 屏蔽 
掉 一 一 20::/32 和 40::/32 网 段 的 路 由 是 可 见 的 ,30::/32 网 段 的 路 由 则 被 屏蔽 。 

通过 在 Router B 上 查看 RIPng 路 由 表 , 验 证 路 由 策略 是 否 生效 。 

IPv6 引入 路 由 策略 的 配置 拓扑 图 如 图 6-5 所 示 。 

实验 步骤 如 下 : 

[R1] interface gigabitethernet 0/1 

[R1- GigabitEthernet0/1] ipv6 address 10::1 32 // 配 置 ITPv6 地 址 

[R1- GigabitEthernet0/1] quit 


[R1] interface gigabitethernet 0/2 
[R1-GigabitEthernet0/2] ipv6 address 11::1 32 
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20::/32 
30::/32 
40::/32 
GE 0/2 
11::1/32 








RI R2 
图 6-5 IPv6 引入 路 由 策略 的 配置 拓扑 图 


[R1- GigabitEthernet0/2] quit 

[R1] interface gigabitethernet 0/1 

[R1-GigabitEthernet0/1] ripng 1 enable // 开 启 RIpng 
[R1- GigabitEthernet0/1] quit 

[R1] ipv6 route- static 20::32 11:: 
[R1] ipv6 route- static 30::32 11:: 
[R1] ipv6 route- static 40::32 11:: 
[R1] ipv6 prefix- list a index 10 permit 30::32 — // 配 置 路 由 策略 
[R1] route- policy static2ripng deny node 0 


N N 


N 


[R1- route- policy- static2ripng- 0] if-match ipv6 address prefix- list a 
[R1- route- policy- static2ripng- 0] quit 

[R1] route- policy static2ripng permit node 10 

[R1- route- policy- static2ripng- 10] quit 

[R1] ripng 

[R1- ripng- 1] import- route static route- policy static2ripng 

// 引 入 名 为 static2ripng 的 路 由 策略 


[R2] interface gigabitethernet 0/1 

[R2- GigabitEthernet0/1] ipv6 address 10::2 32 
[R2] ripng 

[R2- ripng-1] quit 

[R2] interface gigabitethernet 0/1 

[R2- GigabitEthernet0/1] ripng 1 enable 





[R2- GigabitEthernet0/1] quit 
实验 结果 如 下 : 


[R2] display ripng 1 route 

Route Flags: A - Aging, S - Suppressed, G -Garbage- collect 
Peer FE80::7D58:0:CA03:1 on GigabitEthernet2/1/1 
Destination 10::/32,via FE80::7D58:0:CA03:1, cost 1, tag 0, A, 18 secs 
Destination 2! /32,via FESI 7D58:0:CA03:1, cost 1, tag 0, A, 8 secs 
Destination 40: :/32,via FE80::7D58:0:CA03:1, cost 1, tag 0, A, 3 secs 





10::1/32 10::2/32 FIR 
GE 0/1 GE 0/1 Ka 


// 配 置 静态 路 由 ,下 一 跳 为 11::2 


// 匹 配 
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64 策略 路 由 简介 


策略 用 来 定义 报 文 的 匹配 规则 ,以 及 对 报 文 执行 的 操作 。 策 略 由 节点 组 成 。 一 个 策 
略 可 以 包含 一 个 或 者 多 个 节点 。 节 点 的 构成 如 下 。 

每 个 节点 由 节点 编号 标识 。 节 点 编号 越 小 ,节点 的 优先 级 越 高 ,优先 级 高 的 节点 优先 
被 执行 。 

每 个 节点 的 具体 内 容 由 if-match FAM apply 子 句 指定 。 计 match 子 句 定义 该 节点 
的 匹配 规则 ;apply 子 句 定义 该 节点 的 动作 。 

每 个 节点 对 报 文 的 处 理 方式 由 匹配 模式 决定 。 匹 配 模式 分 为 permit LIP) M deny 
(拒绝 ) 两 种 。 应 用 策略 后 ,系统 将 根据 策略 中 定义 的 匹配 规则 和 操作 ,对 报 文 进行 处 理 : 
系统 按照 优先 级 从 高 到 低 的 顺序 依次 匹配 各 节点 ,如 果 报 文 能 满足 这 个 节点 的 匹配 规则 ， 
就 执行 该 节点 的 动作 ;如 果 报 文 不 能 满足 这 个 节点 的 匹配 规则 ,就 继续 匹配 下 一 个 节点 ，; 
如 果 报 文 不 能 满足 策略 中 任何 一 个 节点 的 匹配 规则 , 则 根据 路 由 表 转 发 报 文 。 


6.4.1 if-match 与 apply 子 句 


1. if-math #4) 


目前 ,策略 路 由 提供 了 两 种 if-match 子 句 ,作用 如 下 。 

if-match acl; 设置 ACL 匹配 规则 。 

if-match packet-length: 设置 IP 报 文 长 度 匹 配 规则 。 

在 一 个 节点 中 可 以 配置 多 条 if-match 子 句 ,同一 类 型 的 if-match 子 句 最 多 只 能 有 一 
条 。 同 一 个 节点 中 的 各 个 ifo match 子 句 之 间 是 “与 ”的 关系 , 即 报 文 必须 满足 该 节点 的 所 
有 if-match 子 句 才 算 满足 这 个 节点 的 匹配 规则 。 


2. apply FA] 
策略 路 由 提供 了 12 种 apply 子 句 , 同 一 个 节点 中 可 以 配置 多 条 apply 子 句 , 但 配置 的 
多 条 apply 子 句 不 一 定 都 会 执行 。 影 响 报 文 转 发 路 径 的 apply 子 句 有 五 条 ,优先 级 顺序 


是 apply access-vpn vpn-instance、apply next-hop.apply output-interface, apply default- 
next-hop 和 apply default-output-interface, 


6.4.2 策略 路 由 的 种 类 


策略 路 由 的 种 类 大 体 上 分 为 两 种 : 一 种 是 根据 路 由 的 目的 地 址 进行 策略 实施 的 , 称 

为 目的 地 址 路 由 ; 另 一 种 是 根据 路 由 源 地 址 进行 策略 实施 的 , 称 为 源 地 址 路 由 。 随 着 策略 
路 由 的 发 展 ,现在 有 了 第 三 种 路 由 方式 : 智能 均衡 的 策略 方式 。 
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实验 6 配置 基于 报 文 协议 类 型 的 本 地 策略 路 由 


实验 目的 : 掌握 本 地 策略 路 由 的 配置 方法 。 
实验 器 材 : H3C MSR36-20 一 台 。 


(OD 指定 所 有 TCP 报 文 的 下 一 跳 为 1. 1.2.2, 
(2) 其 他 报 文 仍然 按照 查找 路 由 表 的 方式 进行 转发 。 


本 地 策略 路 由 的 配置 拓扑 图 如 图 6-6 所 示 。 





1.1.3.1/24 






1.1.2.2/24 1.1.3.2/24 


R2 R3 
6-6 本 地 策略 路 由 的 配置 拓扑 图 


实验 步骤 如 下 : 


R1] interface serial 1/0 
R1-Seriall/0] ip address 1.1.2.1 24 
R1-Seriall/0] quit 
Rl] interface serial 2/0 
Rl- Serial2/0] ip address 1.1.3.1 24 
Rl- Serial2/0] quit 
R1] acl number 3101 
R1- acl- adv- 3101] rule permit tcp // 匹 配 TCP 
R1-acl- adv- 3101] quit 
R1] policy-based- route aaa permit node 5 
// 定 义 名 称 为 aaav 节 点 为 5 的 策略 路 由 
R1-pbr- aaa- 5] if-match acl 3101 
Rl- pbr- aaa- 5] apply next-hop 1.1.2.2 
// 设 置 下 一 跳 地 址 为 1.1.2.2 
R1- pbr- aaa- 5] quit 
R1] ip local policy- based- route aaa 
// 在 也 上 应 用 本 地 策略 路 由 





«R2» system- view 
R2] interface serial 1/0 
R2- Seriall/0] ip address 1.1.2.2 24 
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<R3> system- view 
[R3] interface serial 2/0 
[R3- Serial2/0] ip address 1.1.3.2 24 


实验 结果 如 下 : 

从 RI 上 通过 Telnet 方式 登录 R2(1. 1. 2. 2/24) SEGURO). MORI 上 通过 Telnet 方 
式 登 录 R3(1. 1. 3.2/24) ,结果 失败 。 从 RI 上 ping R3(1. 1. 3. 2/24) ,结果 成 功 。 

由 于 Telnet 使 用 的 是 TCP. ping 使 用 的 是 ICMP, 所 以 由 以 上 结果 可 证 明 : RI 产生 


AY TCP 报 文 的 下 一 跳 为 1. 1. 2.2 ,串口 Serial 2/0 不 发 送 TCP 报 文 ,但 可 以 发 送 非 TCP 
报 文 ,策略 路 由 设置 成 功 。 
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71 ACL fi 介 


ACL(Access Control List ,访问 控制 列表 ) 是 一 条 或 多 条 规则 的 集合 ,是 路 由 器 和 交 


换 机 接口 的 指令 列表 ,用 来 控制 端口 进出 的 数据 包 。 


7.1.1 ACL 的 分 类 


目前 ,主要 有 三 种 ACL, 分 别 是 基本 ACL, Gm ACL MZE ACL. 
A) 基本 ACL: 使 用 2000 —2999 的 编号 ,可 适用 于 IPv4 与 IPv6, 其 作用 为 可 以 阻 


止 、 允 许 来 自 某 一 网 络 的 所 有 通信 流量 。 


(2) 高 级 ACL: 使 用 3000—3999 的 编号 ,可 适用 于 IPv4 与 IPv6, 可 让 网 络 管理 员 更 


好 、 更 简便 地 管理 网 络 的 通信 流量 。 
(3) 二 层 ACL: 使 用 4000—4999 的 编号 。 


7.1.2 ACL 的 配置 命令 


K 7-1 所 示 是 配置 ACL 时 所 需 用 到 的 一 些 命令 。 


表 7-1 ACL 的 配置 命令 























操作 命令 操作 说 明 
system-view 进入 系统 界面 
acl basic number 创建 基本 ACL 
acl advanced number 创建 高 级 ACL 
description text 配置 ACL 的 描述 信息 
rule í deny | permit } [ fragment | logging| source X. X. X. X X. X. X. 创建 规则 
X | any |time-range name | vpn-instance name] 
packet-filter acl-number inbound ACL 引入 


实验 1 配置 基本 ACL 


实验 目的 : 学 会 怎么 配置 基本 ACL, 掌 握 如 何 更 好 地 管理 内 部 网 络 。 
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实验 器 材 : H3C $5820 一 台 。 
实验 要 求 : 
CD 在 每 天 的 8—18 点 只 允许 PC_1 和 PC 2 的 报 文通 过 。 
(2) 用 ACL 2001 定义 PC 1 的 报 文通 过 。 
(3) 用 ACL 2002 定义 PC_2 的 报 文通 过 。 
基本 ACL 的 配置 拓扑 图 如 图 7-1 所 示 。 
192.168.11.8/24 192.168.10.8/24 


GE 0/1 KJ GE 0/1 GE 0/1 


si PC | 








图 7-1 基本 ACL 的 配置 拓扑 图 


实验 步骤 如 下 : 


S1]time- range work 8:0 to 18:0 daily 
// 创 建 时 间 范 围 为 8~18 点 ,名 称 为 work 
S1]acl basic 2001 
S1- acl- ipv4- basic- 2001]rule permit source 192.168.10.8 0 time- range work logging 
// 在 名 称 为 work 的 时 间 段 内 只 允许 来 自 Pc_1(192.168.10.8) 的 报 文通 过 
S1- acl- ipv4- basic- 2001] rule deny source any time- range work logging 
// 在 名 称 为 work 的 时 间 段 内 禁止 来 自 其 他 IP 地 址 的 报 文通 过 
S1- acl- ipv4-basic- 2001]quit 
S1]interface GigabitEthernet 1/0/1 
S1- GigabitEthernet1/0/1]packet- filter 2001 inbound 
// 在 端口 上 应 用 ACL 2001 
S1-GigabitEthernetl/0/1]quit 
S1]acl basic 2002 
S1- acl- ipv4- basic- 2002]rule permit source 192.168.11.8 0 time- range work logging 
S1- acl- ipv4- basic- 2002]rule deny source any time- range work logging 
[S1- acl- ipv4- basic- 2002]quit 
S1l]interface GigabitEthernet 1/0/2 
S1- GigabitEthernet1/0/2]packet- filter 2002 inbound 


PC 1 的 配置 如 图 7-2 所 示 。 
PC 2 的 配置 如 图 7-3 所 示 。 
实验 结果 如 下 : 


[S1]display acl all 

Basic IPv4 ACL 2001, 2 rules, ACL's step is 5 

rule 0 permit source 192.168.10.8 0 logging time- range work (Inactive) 

rule 5 deny logging time- range work (Inactive) Basic IPv4 ACL 2002, 2 rules, 
ACL's step is 5 

rule 0 permit source 192.168.11.8 0 logging time- range work (Inactive) 








rule 5 deny logging time- range work (Inactive) 
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G0/04 UP. 192 168 10/8/24 
GO/02 ADM 


) 禁用 


IPv4 配 置 : 

© DHCP 

9 静态 

IPv4 地 址 :| 192.168.108 
MIEMI: | 255 2552550 
IPv4 网 关 : | 192168101 
IPv6 配 置 : 

6 DHCPv6 

e ñ 

IPv6 地 址 : 

MAKA: 

IPv6 网 关 : 


图 7-2 PC_1 的 配置 


状态 ` IPv4 地 址 Pv6 地 址 


uP 192/168,11.6/24 
GUU2 ADM 


接口 管理 
日 禁用 em 


IPv4 配 置 : 
© DHCP 


e 静态 
IPv4 地 址 : | 192.168.118 
AME: | 2552552550 


IPv4 网 关 : | 192.168.11.1 


IPv6 配 置 : 
© DHOPVE 
e 静态 
IPv6 地 址 : 
MAKE: 
IPv6 网 关 : 


图 7-3 PC _2 的 配置 
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实验 2 配置 高 级 ACL 


实验 目的 : 掌握 高 级 ACL 的 配置 方法 。 

实验 器 材 : H3C MSR36-20 三 台 、PC 三 台 。 

实验 要 求 : 

COO 为 了 合理 利用 带宽 ,规划 从 RI 到 R2 的 FTP 数据 通过 RI ~ R2 线路 转发 ,从 
RI~R3 的 Web 数据 通过 RI~R3 的 线路 转发 。 

(2) RI—R2 的 FTP 数据 由 ACL 3001 定义 。 

(3) R1—R3 的 Web 数据 由 ACL 3002 定义 。 

高 级 ACL 的 配置 拓扑 图 如 图 7-4 所 示 。 








11.0.0.13/30 
Ww 





11.0.0.14/30 
Ser 1⁄0 





11.0.0.18/30 
Ser 2/0 





aj GE 0/1 GE us SH GE 0/0 GE 0/1 
PC 2 MSR36-20 2 MSR36-20 3 PC 3 


图 7-4 高 级 ACL 的 配置 拓扑 图 
实验 步骤 如 下 : 


Rl]interface Serial 1/0 

Rl- Seriall/0]ip address 11.0.0.13 30 

Rl]interface s 

Rl]interface Serial 2/0 

Rl- Serial2/0]ip address 11.0.0.17 30 

Rl]acl advanced 3001 

Rl- acl- ipv4- adv- 3001] rule permit tcp destination- port eq ftp 
R1-acl- ipv4- adv- 3001] rule permit tcp destination- port eq ftp- data 
policy- based- route 1 permit node 2 

- pbr- 1- 2]apply next-hop 11.0.0.14 

interface GigabitEthernet 0/0 

- GigabitEthernet0/0]ip policy- based- route 1 

acl advanced 3002 

— acl- ipv4- adv- 3002]rule permit tcp destination- port eq www 
policy- based- route 1 permit node 3 

—pbr- 1- 3]apply next-hop 11.0.0.18 

interface GigabitEthernet 0/0 

- GigabitEthernet0/0]ip policy- based- route 1 


BRRERREBRBRERBREEB 





interface Serial 1/0 
— Seriall/0]ip address 11.0.0.14 30 





SS 
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[R2]ac1 advanced 3001 

[R2- acl- ipv4- adv- 3001]rule permit tcp destination- port eq ftp 

[R2- acl- ipv4- adv- 3001]rule permit tcp destination- port eq ftp- data 
[R2]policy- based- route 1 permit node 2 

[R2- pbr- 1- 2]apply next- hop 11.0.0.13 

[R2]interface GigabitEthernet 0/0 

[R2- GigabitEthernet0/0]ip policy- based- route 1 


[R3]interface Serial 2/0 

[R3- Serial2/0]ip address 11.0.0.18 30 

[R3]acl advanced 3002 

[R3- acl- ipv4- adv- 3002] rule permit tcp destination- port eq www 
[R3]policy- based- route 1 permit node 2 

[R3- pbr- 1- 2]apply next-hop 11.0.0.17 

[R3]interface GigabitEthernet 0/0 

[R3- GigabitEthernet0/0]ip policy- based- route 1 


实验 结果 如 下 : 





[Rl]display acl all 

Advanced IPv4 ACL 3001, 2 rules, ACL's step is 5 
rule 0 permit tcp destination- port eq ftp 

rule 5 permit tcp destination- port eq ftp- data 


Advanced IPv4 ACL 3002, 1 rule, ACL's step is 5 
rule 0 permit tcp destination- port eq www 


[R2]display acl all 

Advanced IPv4 ACL 3001, 2 rules, ACL's step is 5 
rule 0 permit tcp destination- port eq ftp 

rule 5 permit tcp destination- port eq ftp- data 


[R2]display acl all 

Advanced IPv4 ACL 3001, 2 rules, ACL's step is 5 
rule 0 permit tcp destination- port eq ftp 

rule 5 permit tcp destination- port eq ftp- data 
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QoS 即 服务 质量 。 对 于 网 络 业务 ,影响 服务 质量 的 因素 包括 传输 的 带宽 、 传 送 的 时 
JE ,数据 的 丢 包 率 等 。 在 网 络 中 可 以 通过 保证 传输 的 带宽 、 降 低 传送 的 时 延 、 降 低 数据 的 
丢 包 率 以 及 时 延 拌 动 等 措施 来 提高 服务 质量 。 在 正常 情况 下 ,如 果 网 络 只 用 于 特定 的 无 
时 间 限 制 的 应 用 系统 , 则 不 需要 QoS, 如 Web 应 用 或 E-mail 设置 等 。 但 是 对 关键 应 用 和 
多 媒体 应 用 就 十 分 必要 。 
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7.2.1 QoS 服务 模型 简介 


通常 QoS 提供 以 下 三 种 服务 模型 Best-Effort Service (尽力 而 为 服务 模型 )、 
Integrated Service( 综 合 服务 模型 .简称 IntServ) , Differentiated Service( 区 分 服务 模型 ， 
简称 DiffServ). 

Best-Effort 是 一 个 单一 的 服务 模型 ,也 是 最 简单 的 服务 模型 。 对 Best-Effort 服务 模 
型 ,网 络 尽 最 大 可 能 性 来 发 送 报 文 ,但 对 时 延 \ 可 靠 性 等 性 能 不 提供 任何 保证 。Best- 
Effort 服务 模型 是 网 络 的 默认 服务 模型 ,通过 FIFO 队列 来 实现 。 它 适用 于 绝 大 多 数 网 
络 应 用 ,如 FTP E-mail 等 。 

IntServ 是 一 个 综合 服务 模型 , 它 可 以 满足 多 种 QoS 需求 。 该 模型 使 用 RSVP, 
RSVP 运行 在 从 源 端 到 目的 端的 每 台 设备 上 ,可 以 监视 每 个 流 ,以 防止 其 消耗 资源 过 多 。 
这 种 体系 能 够 明确 区 分 并 保证 每 一 个 业务 流 的 服务 质量 ,为 网 络 提供 最 细 粒 度 化 的 服务 
质量 区 分 。 但 是 ,IntServ 服务 模型 对 设备 的 要 求 很 高 , 当 网 络 中 的 数据 流 数量 很 大 时 , 设 
备 的 存储 和 处 理 能 力 会 遇 到 很 大 的 压力 。IntServ 服务 模型 可 扩展 性 很 差 ,难以 在 
Internet 核心 网 络 中 实施 。 

DiffServ 是 一 个 多 服务 模型 , 它 可 以 满足 不 同 的 QoS 需求 。 与 IntServ 不 同 , 它 不 需 
要 通知 网 络 为 每 个 业务 预 留 资源 。 区 分 服务 实现 简单 ,扩展 性 较 好 。 


7.2.2 QoS 的 配置 方式 


QoS 配置 方式 分 为 非 QoS 策略 配置 方式 和 QoS 策略 配置 方式 。 非 QoS 策略 配置 方 
式 是 指 不 通过 QoS 策略 进行 配置 。 例 如 ,接口 限 速 功能 可 以 通过 直接 在 接口 上 配置 实 
D. QoS 策略 配置 方式 是 指 通过 配置 QoS 策略 实现 QoS 功能 。 

QoS 策略 包含 三 个 要 素 : 类 ,流行 为 和 策略 。 用 户 可 以 通过 QoS 策略 将 指定 的 类 和 
流行 为 绑 定 起 来 ,灵活 地 进行 QoS 配置 。 


7.2.3 优先 级 映射 介绍 


优先 级 用 于 标识 报 文 传输 的 优先 程度 ,可 以 分 为 两 类 : 报 文 携带 优先 级 和 设备 调度 
优先 级 。 报 文 携带 优先 级 包括 802. 1p 优先 级 `DSCP 优先 级 IP RER EXP 优先 级 等 。 
这 些 优 先 级 都 是 根据 公认 的 标准 和 协议 生成 ,体现 了 报 文 自身 的 优先 等 级 。 设 备 调度 优 
先 级 是 指 报 文 在 设备 内 转发 时 所 使 用 的 优先 级 ,只 对 当前 设备 自身 有 效 。 设 备 调度 优先 
级 包括 以 下 几 种 。 
本 地 优先 级 (LP): 设备 为 报 文 分 配 的 一 种 具有 本 地 意义 的 优先 级 ,每 个 本 地 优先 级 
对 应 一 个 队列 ,本 地 优先 级 值 越 大 的 报 文 .进入 的 队列 优先 级 越 高 ,从 而 能 够 获得 优先 的 
调度 。 
用 户 优先 级 (UP): 设备 对 于 进入 的 流量 ,会 自动 获取 报 文 的 优先 级 作为 后 续 转 发 调 
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度 的 参数 ,这 种 报 文 优先 级 称 为 用 户 优先 级 。 对 于 不 同类 型 的 报 文 ,用 户 优先 级 所 代表 的 
优先 级 字段 不 同 。 对 于 二 层 报 文 , 用 户 优先 级 取 自 802. 1p 优先 级 ;对 于 三 层 报 文 , 用 户 优 
先 级 取 自 IP 优先 级 ;对 于 MPLS 报 文 ,用 户 优先 级 取 自 EXP 优先 级 。 





7.2.4 QoS 的 配置 命令 


表 7-2 所 示 是 配置 QoS 时 所 需 用 到 的 一 些 命令 。 
表 7-2 QoS 的 配置 命令 




















操作 命令 操作 说 明 
system-view 进入 系统 界面 
traffic classifier name 设置 Classifier 名 称 
traffic behavior name 设置 Behavior 名 称 
qos policy name name 设置 QoS 名 称 
qos apply policy name outbound 引入 QoS 策略 
classifier name behavior name 将 Classifier 和 Behavior 引入 QoS 策略 中 





实验 3 配置 QoS 部 署 


实验 目的 : 知道 如 何 配置 QoS ,并 掌握 相关 的 命令 。 

实验 器 材 : H3C MSR36-20 三 台 、PC 一 台 。 

实验 背景 : 某 公 司 将 RI 所 在 区 域 列 为 分 部 ,将 R2、R3 所 在 区 域 列 为 总 部 ,为 保证 能 
应 用 广域网 带宽 ,需要 在 设备 上 配置 QoS. 

实验 要 求 : 要 使 分 部 与 总 部 DNS 服务 器 (192. 168. 10. 100/24) 间 的 DNS 数据 流 能 
够 被 加 速 转发 (EF) ,最 大 带宽 为 链 路 带宽 的 20%; ACL 编号 为 3003( 匹 配 DNS 数据 流 ); 
Classifier 名 称 为 DNS;Behavior 名 称 为 DNS;QoS 策略 名 称 为 DNS。 

QoS 部 署 的 配置 拓扑 图 如 图 7-5 所 示 o 
GE 0/1 







Ser 1/0 


(5) 
LOJ Ser 3/0 Ser 3/0 


R2 R3 
图 7-5 QoS 部 署 的 配置 拓扑 图 
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实验 步骤 如 下 : 


[R1]acl advanced 3003 

[R1- acl- ipv4- adv- 3003]rule permit ip destination 192.168.10.100 0 
[R1- acl- ipv4- adv- 3003]quit 

[R1]traffic classifier DNS 

[R1- classifier- DNS]if- match acl 3003 

[R1- classifier- DNS]quit 

[R1]traffic behavior DNS 

[R1- behavior- DNS]queue ef bandwidth pct 20 
[R1- behavior- DNS]quit 

[R1]qos policy DNS 

[R1- gospolicy- DNS]classifier DNS behavior DNS 
[R1- qospolicy- DNS]quit 

[R1]interface Serial 2/0 

[R1- Serial2/0]qos apply policy DNS outbound 
[R1]interface Serial 1/0 

[R1- Seriall/0]qos apply policy DNS outbound 


[R2]acl advanced 3003 

[R2- acl- ipv4- adv- 3003] rule permit ip destination 192.168.10.100 255.255.255.0 
[R2- acl- ipv4- adv- 3003]quit 

[R2]traffic classifier DNS 

[R2- classifier- DNS]if- match acl 3003 

[R2- classifier- DNS]quit 

[R2]traffic behavior DNS 


[R2- behavior- DNS]queue ef bandwidth pct 20 
[R2- behavior- DNS]quit 

[R2]qos policy DNS 

[R2- qospolicy- DNS]classifier DNS behavior DNS 
[R2- qospolicy- DNS]quit 

[R2]interface Serial 1/0 

[R2- Seriall/0]qos apply policy DNS outbound 
[R3]acl advanced 3003 

[R3- acl- ipv4- adv- 3003] rule permit ip destination 192.168.10.100 255.255.255.0 
[R3- acl- ipv4- adv- 3003]quit 

[R3]traffic classifier DNS 

[R3- classifier- DNS]if- match acl 3003 

[R3- classifier- DNS]quit 

[R3]traffic behavior DNS 

[R3- behavior- DNS]queue ef bandwidth pct 20 
[R3- behavior- DNS]quit 

[R3]qos policy DNS 

[R3- qospolicy- DNS]classifier DNS behavior DNS 
[R3- gospolicy- DNS] quit 

[R3] interface Serial 2/0 

[R3- Serial2/0]qos apply policy DNS outbound 


PC 的 配置 如 图 7-6 所 示 。 
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GO02 ADM 


接口 管理 


ot 
es 


IPv4 配 置 : 
© DHCP 


eB 

IPv4 地 址 : | 192.168.20.10 
搞 码 地 址 ; |2552552550 
IPv4 网 关 : | 192168201 


IPv6 配 置 : 
© DHCPv6 
e 静态 
IPv6 地 址 : 
MAKE: 
IPv6 网 关 : 





图 7-6 PC 的 配置 


实验 结果 如 下 : 


[R1]display qos policy interface 
Interface: Seriall/O 
Direction: Outbound 
Policy: DNS 
Classifier: default- class 
Matched: 0 (Packets) 0 (Bytes) 
5-minute statistics: 
Forwarded: 0/0 (pps/bps) 
Dropped: 0/0 (pps/bps) 
Operator: AND 
Rule(s): 
If-match any 
Behavior: be 
Default Queue: 
Flow based Weighted Fair Queue: 


Max number of hashed queues: 256 
Matched: 0 (Packets) 0 (Bytes) 
Enqueued: 0 (Packets) 0 (Bytes) 
Discarded: 0 (Packets) O (Bytes) 
Discard Method: Tail 
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Classifier: DNS 
Matched: 0 (Packets) 0 (Bytes) 
5-minute statistics: Forwarded: 
0/0 (pps/bps) Dropped: 0/0 
(pps/bps) Operator: AND 
Rule(s): 

If-match acl 3003 

Behavior: DNS 
Expedited Forwarding: 
Bandwidth 10 (kbps) CBS 250 (Bytes) 
Matched: 0 (Packets) 0 (Bytes) 
Enqueued: 0 (Packets) 0 (Bytes) 
Discarded: 0 (Packets) 0 (Bytes) Discard 
Method: Tail 


Interface: Serial2/0 
Direction: Outbound 

Policy: DNS 
Classifier: default- class 
Matched: 0 (Packets) 0 (Bytes) 
5-minute statistics: 
Forwarded: 0/0 (pps/bps) 
Dropped : 0/0 (pps/bps) 
Operator: AND 
Rule(s): 
If-match any 
Behavior: be 
Default Queue: 
Flow based Weighted Fair Queue: 
Max number of hashed queues: 256 
Matched: 0 (Packets) 0 (Bytes) 
Enqueued: 0 (Packets) 0 (Bytes) 
Discarded: 0 (Packets) 0 (Bytes) 
Discard Method: Tail 

Classifier: DNS 
Matched: 0 (Packets) 0 (Bytes) 
5-minute statistics: 
Forwarded: 0/0 (pps/bps) 
Dropped : 0/0 (pps/bps) 
Operator: AND 
Rule(s): 

If-match acl 3003 

Behavior: DNS 
Expedited Forwarding: 
Bandwidth 10 (kbps) CBS 250 (Bytes) 
Matched: 0 (Packets) 0 (Bytes) 
Enqueued: 0 (Packets) 0 (Bytes) 
Discarded: 0 (Packets) 0 (Bytes) Discard 
Method: Tail 
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[R2]display qos policy interface 
Interface: Seriall/O 
Direction: Outbound 
Policy: DNS 
Classifier: default- class 
Matched: 0 (Packets) 0 (Bytes) 
5-minute statistics: 
Forwarded: 0/0 (pps/bps) 
Dropped : 0/0 (pps/bps) 
Operator: AND 
Rule(s): 
If-match any 
Behavior: be 
Default Queue: 
Flow based Weighted Fair Queue: 
Max number of hashed queues: 256 
Matched: 0 (Packets) 0 (Bytes) 
Enqueued: 0 (Packets) 0 (Bytes) 
Discarded: 0 (Packets) 0 (Bytes) 
Discard Method: Tail 
Classifier: DNS 
Matched: 0 (Packets) 0 (Bytes) 
5-minute statistics: 
Forwarded: 0/0 (pps/bps) 
Dropped: 0/0 (pps/bps) 
Operator: AND 
Rule(s): 
If-match acl 3003 
Behavior: DNS 
Expedited Forwarding: 
Bandwidth 10 (kbps) CBS 250 (Bytes) 
Matched: 0 (Packets) 0 (Bytes) 
Enqueued: 0 (Packets) 0 (Bytes) 
Discarded: 0 (Packets) 0 (Bytes) 
Discard Method: Tail 


[R3]display gos policy interface 
Interface: Serial2/0 
Direction: Outbound 

Policy: DNS 
Classifier: default- class 
Matched: 0 (Packets) 0 (Bytes) 
5-minute statistics: 
Forwarded: 0/0 (pps/bps) 
Dropped : 0/0 (pps/bps) 
Operator: AND 
Rule(s): 
If-match any 
Behavior: be 
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Default Queue: 
Flow based Weighted Fair Queue: 
Max number of hashed queues: 256 
Matched: 0 (Packets) 0 (Bytes) 
Enqueued: 0 (Packets) 0 (Bytes) 
Discarded: 0 (Packets) 0 (Bytes) 
Discard Method: Tail 
Classifier: DNS 
Matched: 0 (Packets) 0 (Bytes) 
5-minute statistics: 
Forwarded: 0/0 (pps/bps) 
Dropped : 0/0 (pps/bps) 
Operator: AND 
Rule(s): 
If-match acl 3003 
Behavior: DNS 
Expedited Forwarding: 
Bandwidth 10 (kbps) CBS 250 (Bytes) 
Matched: 0 (Packets) 0 (Bytes) 
Enqueued: 0 (Packets) 0 (Bytes) 
Discarded: 0 (Packets) 0 (Bytes) Discard 
Method: Tail 
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IPSec(IP Security IP 安全 ) 是 IETF 制定 的 三 层 隧道 加 密 协 议 , 它 为 互联 网 上 传输 
的 数据 提供 了 高 质量 的 、 基 于 密码 学 的 安全 保证 ,是 一 种 传统 的 实现 三 层 VPN (Virtual 
Private Network, 虚 拟 专 用 网 络 ) 的 安全 技术 。IPSec 通过 在 特定 通信 方 之 间 ( 如 两 个 安 
全 网 关 之 间 ) 建 立 “ 通 道 ”, 来 保护 通信 方 之 间 传 输 的 用 户 数据 ,该 通道 通常 称 为 IPSec 
隧道 。 


8.1.1 IPSec 的 安全 服务 


IPSec Jj IP 层 的 数据 报 文 提供 的 安全 服务 具体 包括 以 下 几 种 。 

BOR PLA YE (Confidentiality) : 发 送 方 通过 网 络 传输 用 户 报 文 前 ,IPSec 对 报 文 进行 
加 密 。 

数据 完整 性 (Data Integrity): 接收 方 对 发 送 方 发 送 来 的 IPSec 报 文 进行 认证 ,以 确 
保 数 据 在 传输 过 程 中 没有 被 算 改 。 

数据 来 源 认 证 (Data Authentication): 接收 方 认证 发 送 IPSec 报 文 的 发 送 端 是 否 
合法 。 
TUE CAnti-Replay? : 接收 方 可 检测 并 拒绝 接收 过 时 或 重复 的 IPSec 报 文 。 


8.1.2 IPSec 的 认证 和 加 密 


1. 认证 算法 

IPSec 使 用 的 认证 算法 主要 是 通过 杂 竣 函数 实现 的 。 杂 竣 函 数 是 一 种 能 够 接收 任意 
长 度 的 消息 输入 ,并 产生 固定 长 度 输出 的 算法 ,该 算法 的 输出 称 为 消息 摘要 。IPSec 对 等 
体 双方 都 会 计算 一 个 摘要 ,接收 方 将 发 送 方 的 摘要 与 本 地 的 摘要 进行 比较 ,如 果 二 者 相 
同 , 则 表示 收 到 的 IPSec 报 文 是 完整 未 被 自 改 的 ,以 及 发 送 方 身份 合法 。 目 前 ,IPSec 强制 
使 用 基于 HMAC(Hash-based Message Authentication Code, 基 于 散 列 的 消息 鉴别 码 ) 的 
认证 算法 ,包括 HMAC-MD5 和 HMAC-SHA1。 其 中 ,HMAC-MD5 算法 的 计算 速度 快 ， 
而 HMAC-SHAI 算法 的 安全 强度 高 。 
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2. 加 密 算法 


IPSec 使 用 的 加 密 算 法 属于 对 称 密 钥 系统 ,这 类 算法 使 用 相同 的 密 钥 对 数据 进行 加 
密 和 解密 。 目 前 设备 的 IPSec 使 用 三 种 加 密 算法 。 

DES. 使 用 56bit 的 密 钥 对 一 个 64bit 的 明文 块 进行 加 密 。 

3DES; 使 用 三 个 56bit( 共 168bit) 的 密 钥 对 明文 块 进行 加 密 。 

AES; 使 用 128bit、192bit 或 256bit 的 密 钥 对 明文 块 进行 加 密 。 这 三 个 加 密 算法 的 
安全 性 由 高 到 低 依次 是 AES、3DES、DES, 安 全 性 高 的 加 密 算法 实现 机 制 复杂 ,运算 速 
度 慢 。 


8.1.3 IPSec 的 优点 


IPSec 支持 IKE(Internet Key Exchange, 互 联网 密 钥 交换 ) ,可 实现 密 钥 的 自动 协商 
功能 ,减少 了 密 钥 协 商 的 开销 。 可 以 通过 IKE 建立 和 维护 SA (Security Association ,安全 
联盟 ) ,简化 了 IPSec 的 使 用 和 管理 。 

所 有 使 用 IP 协议 进行 数据 传输 的 应 用 系统 和 服务 都 可 以 使 用 IPSec, 而 不 必 对 这 些 
应 用 系统 和 服务 本 身 做 任何 修改 。 

对 数据 的 加 密 是 以 数据 包 为 单位 的 ,而 不 是 以 整个 数据 流 为 单位 ,这 不 但 灵活 ,而 且 
有 助 于 进一步 提高 IP 数据 包 的 安全 性 ,可 以 有 效 防范 网 络 攻击 。 


82 IKE 简 介 


IKE 协议 利用 ISAKMP (Internet Security Association and Key Management 
Protocol ,互联 网 安全 联盟 和 密 钥 管 理 协 议 ) 语 言 定 义 密 钥 交换 的 过 程 ,是 一 种 对 安全 服 
务 进行 协商 的 手段 。 

用 IPSec 保护 一 个 IP 数据 包 之 前 ,必须 先 建立 一 个 安全 联盟 (IPSec SA) ,IPSec SA 
可 以 手动 或 动态 建立 。IKE 可 用 于 协商 虚拟 专用 网 (VPN) ,也 可 用 于 远程 用 户 ( 其 TP 地 
址 不 需要 事先 知道 ) 访 问安 全 主机 或 网 络 ,支持 客户 端 协商 。 客 户 端 模 式 即 为 协商 方 不 是 
安全 连接 发 起 的 终端 点 。 当 使 用 客户 端 模 式 时 ,端点 处 身份 是 隐藏 的 。 


8.2.1 IKE 的 安全 机 制 

IKE 可 以 在 不 安全 的 网 络 上 安全 地 认证 通信 双方 的 身份 .分 发 密 钥 以 及 建立 IPSec 
SA, 具 有 以 下 三 种 安全 机 制 。 

1. 身份 认证 


IKE 的 身份 认证 机 制 用 于 确认 通信 双方 的 身份 。 设 备 支持 三 种 认证 方法 : 预 共享 密 
89 


网 络 设备 配置 与 综合 实战 





HUTE, RSA 数字 签名 认证 和 DSA 数字 签名 认证 。 

预 共享 密 钥 认 证 : 通信 双方 通过 共享 的 密 钥 认证 对 端 身份 。 

RSA 或 DAS 数字 签名 认证 : 通信 双方 使 用 由 CA 颁发 的 数字 证 书 向 对 端 证 明 自 己 
的 身份 。 


2. DH 算法 


DH 算法 是 一 种 公共 密 钥 算法 , 它 允 许 通信 双方 在 不 传输 密 钥 的 情况 下 通过 交换 一 
些 数据 ,计算 出 共享 的 密 钥 。 即 使 第 三 方 (如 黑客 ) 截 获 了 双方 用 于 计算 密 钥 的 所 有 交换 
数据 ,由 于 其 复杂 度 很 高 ,也 不 足以 计算 出 双方 的 密 钥 。 


3. PFS 特性 


PFS(Perfect Forward Secrecy, 完 善 的 前 向 安全 性 ) 是 一 种 安全 特性 , 它 解决 了 密 钥 
之 间 相 互 无 关 性 的 需求 。 由 于 IKE 第 二 阶段 协商 需要 从 第 一 阶段 协商 出 的 密 钥 材料 中 
衍生 出 用 于 IPSec SA 的 密 钥 , 若 攻击 者 能 够 破解 IKE SA 的 一 个 密 钥 , 则 会 非常 容易 地 
掌握 其 衍生 出 的 任何 IPSec SA 的 密 钥 。 使 用 PFS 特性 后 ,IKE 第 二 阶段 协商 过 程 中 会 
增加 一 次 DH 交换 ,使 得 IKE SA 的 密 钥 和 IPSec SA 的 密 钥 之 间 没 有 派生 关系 ,即使 
IKE SA 的 其 中 一 个 密 钥 被 破解 ,也 不 会 影响 它 协商 出 的 其 他 密 钥 的 安全 性 。 


8.2.2 IKE 的 优点 


IKE 首先 会 在 通信 双方 之 间 协 商 建立 一 个 安全 通道 (IKE SA) ,并 在 此 安全 通道 的 保 
护 下 协商 建立 IPSec SA, 这 降低 了 手动 配置 的 复杂 度 ,简化 了 IPSec 的 配置 和 维护 工作 。 
IKE 的 精髓 在 于 DH(Diffie-Hellman) 交 换 技 术 , 它 通过 一 系列 的 交换 ,使 得 通信 双方 最 
终 计算 出 共享 密 钥 。 在 IKE 的 DH 交换 过 程 中 ,每 次 计算 和 产生 的 结果 都 是 不 相关 的 。 
由 于 每 次 IKE SA 的 建立 都 运行 了 DH 交换 过 程 ,因此 就 保证 了 每 个 通过 IKE 协商 建立 
的 IPSec SA 所 使 用 的 密 钥 互 不 相关 。 

IPSec 使 用 AH 或 ESP 报 文 头 中 的 顺序 号 实现 防 重 放 。 此 顺序 号 是 一 个 32 比特 的 
值 , 此 数 溢出 之 前 ,为 实现 防 重 放 , IPSec SA 需要 重新 建立 ,IKE 可 以 自动 重 协商 
IPSec SA, 


8.2.3 IPSec 的 配置 命令 


K 8-1 所 示 是 配置 IPses 时 所 需 用 到 的 一 些 命令 。 
表 8-1 IPSec 的 配置 命令 











操作 命令 操作 说 明 
system-view 进入 系统 界面 
ipsec transform-set name 创建 IPSec 安全 协议 
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续 表 
操作 命令 操作 说 明 
encapsulation-mode {transport| tunnel} 配置 安全 协议 对 IP 报 文 的 封装 形式 
protocol (ah|ah-esp| esp} 配置 采用 的 安全 协议 
ipsec policy name number manual 创建 一 条 手动 方式 的 IPSec 安全 策略 
ipsec apply policy name 应 用 IPSec 安全 策略 
ike keychain name 创建 一 个 IKE 密 钥 的 名 称 


实验 1 采用 手动 方式 建立 保护 Pu 
报 文 的 IPSec 隧道 


实验 目的 : 掌握 手动 配置 IPSec 的 方式 。 

实验 器 材 : H3C MSR36-20 两 台 、PC 两 台 。 

实验 要 求 : 

(1) 在 Router A 和 Router B 之 间 建 立 一 条 IPSec 隧道 ,对 Host A 所 在 的 子 网 (10. 
.0/24) 与 Host B 所 在 的 子 网 (10. 1.2.0/24) 之 间 的 数据 流 进行 安全 保护 。 

(2) 封装 形式 为 隧道 模式 。 

(3) 安全 协议 采用 ESP 协议 。 

(4) 加 密 算法 采用 128 比特 的 AES, 认 证 算法 采用 HMAC-SHA1 手动 方式 建立 
IPSec SA, 

IPSec 的 手动 配置 方式 拓扑 图 如 图 8-1 所 示 。 


RI R2 
11.0.0.10/24 


IA 









GE 0/2 
192.168.1.1/24 


GE 0/2 
192.168.2.1/24 


GE 0/1 GE 0/1 


PC | PC 2 
192.168.1.2/24 192.168.2.2/24 


8-1 IPSec 的 手动 配置 方式 拓扑 图 


实验 步骤 如 下 : 


[R1]interface GigabitEthernet 0/1 


91 





网 络 设备 配置 与 综合 实战 


[R1- GigabitEthernet0/1]ip address 11.0.0.10 24 

[R1- GigabitEthernet0/1]quit 

[R1]interface GigabitEthernet 0/2 

[R1- GigabitEthernet0/2]ip address 192.168.1.1 24 

[R1] acl number 3101 

// 配 置 一 个 ACL, 定 义 要 保护 的 由 子 网 10.1.1.0/24 KEFR 10.1.2.0/24 的 数据 流 

[R1- acl- adv- 3101] rule permit ip source 192.168.1.2.0.0.255 destination 

192.168.2.2 0.0.0.255 

[R1] ip route- static 192.168.2.2255.255.255.0 gigabitethernet 0/1 11.0.0.9 

// 配 置 到 达 Ro 所 在 子 网 的 静态 路 由 。11.0.0.9 为 本 例 中 直 连 的 下 一 跳 地 址 ,实际 使 用 中 请 以 具 

体 组 网 情况 为 准 

[R1] ipsec transform- set tranl // 创 建 IPsec 安全 提议 tran 

[R1- ipsec- transform- set- tranl] encapsulation- mode tunnel 
// 配 置 安全 协议 时 对 IP 报 文 的 封装 形式 为 隧道 模式 

[R1- ipsec- transform- set- tranl] protocol esp // 配 置 采用 的 安全 协议 为 ESP 

[R- ipsec- transform- set- tranl] esp encryption- algorithm aes- cbc- 128 
// 配 置 ESP 协议 采用 的 加 密 算法 为 采用 128 比特 的 AES 

[R1- ipsec- transform- set- tranl] esp authentication- algorithm shal 
// 认 证 算法 为 HMAC- SHAL 

[R1- ipsec- transform- set- tranl] quit 

[R1] ipsec policy mapl 10 manual 
// 创 建 一 条 手动 方式 的 IPsec 安全 策略 ,名称 为 map1, 序 列 号 为 10 

[R1- ipsec- policy- manual- mapl- 10] security acl 3101 
// 指 定 引 用 ACL 3101 

[R1- ipsec- policy- manual- mapl- 10] transform- set tranl 
// 指 定 引 用 的 Ipsec 安全 提议 为 tranl 

[R1- ipsec- policy- manual- mapl- 10] remote- address 11.0.1.10 
// 指 定 IPSec 隧道 的 端 TP 地 址 为 11.0.1.10 

[R1- ipsec- policy- manual- mapl- 10] sa spi outbound esp 12345 
// 配 置 ESP 协 议 的 出 口 方向 SPI 为 12345 

[R1- ipsec- policy- manual- mapl- 10] sa spi inbound esp 54321 
// 入 口 方 向 SPI X 54321 

[R1- ipsec- policy- manual- mapl- 10] sa string- key outbound esp simple abcdefg 
// 配 置 ESP 协 议 的 出 口 方向 SR 的 密 钥 为 明文 字符 串 abcdefg 

[R1- ipsec- policy- manual- mapl- 10] sa string- key inbound esp simple gfedcba 
// 人 口 方向 SR 的 密 钥 为 明文 字符 串 gfedcba 

[R1- ipsec- policy- manual- mapl- 10] quit 

[R1] interface gigabitethernet 0/1 

[R1- GigabitEthernet0/1] ip address 11.0.0.10 255.255.255.0 

[R1- GigabitEthernet0/1] ipsec apply policy mapl 
// 在 接口 GigabitEtherneto/1 上 应 用 Ipsec 安全 策略 mapl 

[R1- GigabitEthernet0/1] quit 








[R2]interface GigabitEthernet 0/1 

[R2- GigabitEthernet0/1]IP address 11.0.1.10 24 

[R2- GigabitEthernet0/1] interface GigabitEthernet 0/2 

[R2- GigabitEthernet0/2]IP address 192.168.2.1 24 

[R2] acl number 3101 

[R2- acl- adv- 3101] rule permit ip source 192.168.2.2 0.0.0.255 destination 
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192.168.1.2 0.0.0.255 

R2] ip route- static 192.168.1.2 255.255.255.0 gigabitethernet 0/1 11.0.1.9 
// 配 置 到 达 RI 所 在 子 网 的 静态 路 由 。11.0.1.9 为 本 例 中 直 连 的 下 一 跳 地 址 ,实际 使 用 中 请 以 具 

体 组 网 情况 为 准 

R2] ipsec transform- set tranl 

R2- ipsec- transform- set- tranl] encapsulation- mode tunnel 

R2- ipsec- transform- set- tranl] protocol esp 

R2- ipsec- transform- set- tranl] esp encryption- algorithm aes- cbc- 128 

R2- ipsec- transform- set- tranl] esp authentication- algorithm shal 

R2] ipsec policy usel 10 manual 

R2- ipsec- policy- manual- usel- 10] security acl 3101 

R2- ipsec- policy- manual- usel- 10] transform- set tranl 

R2- ipsec- policy- manual- usel- 10] remote- address 11.0.0.10 

R2- ipsec- policy- manual- usel- 10] sa spi outbound esp 54321 

R2- ipsec- policy- manual- usel- 10] sa spi inbound esp 12345 

R2- ipsec- policy- manual- usel- 10] sa string- key outbound esp simple gfedcba 

R2- ipsec- policy- manual- usel- 10] sa string- key inbound esp simple abcdefg 

R2- ipsec- policy- manual- usel- 10] quit 

R2] interface gigabitethernet 0/1 

R2- GigabitEthernet0/1] ipsec apply policy usel 

R2- GigabitEthernet0/1] quit 


PC 1 的 配置 如 图 8-2 所 示 。 





IPv6 地 址 


接口 管理 
© 禁用 


IPv4 配 置 : 
© DHCP 


eŭ s 

IPv4 地 址 : 19216812 
Rm, |2552552550 
IPv4 网 关 :  49246814 


IPv6 配 置 : 
© DHCP6 
e ñ= 
IPv6 地 址 : 
RISKE: 
IPv6 网 关 : 





图 8-2 PC_1 的 配置 
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PC 2 的 配置 如 图 8-3 所 示 。 


接口 状态 IPv4 地 址 


G00/1 UP. 192.168:2.2/24 
G0/02 ADM 


接口 管理 


e 2m 


IPv4 配 置 : 

© DHCP 

e 静态 

IPv4 地 址 ; |192168.22 
MEM: |2552552550 
IPv4 网 关 : |19216821 
IPv6 配 置 : 

© DHCPv6 

@ RS 

IPv6 地 址 : 

MAKA: 

IPv6 网 关 : 





图 8-3 PC_2 的 配置 


实验 结果 如 下 : 


[R1] display ipsec sa 





GigabitEthernet0/1 
luu I UE IPSec 
policy: mapl 
Sequence number: 10 
Mode: manual 
Sass sss Tunnel id 
549 


Encapsulation mode: tunnel 
Path MTU: 1443 
Tunnel: 
local address: 11.0.0.10 
remote address: 11.0.1.10 
Flow: 
as defined in ACL 3101 
[Inbound ESP SA] 
SPI: 54321 (0x0000d431) 
Transform set: ESP- ENCRYPT- AES- CBC- 128 ESP- AUTH- SHA1 
No duration limit for this SA 
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(10. 


[Outbound ESP SA] 
SPI: 12345 (0x00003039) 


Transform set: ESP- ENCRYPT- AES- CBC- 128 ESP- AUTH- SHA1 


No duration limit for this SA 


[R2] display ipsec sa 


Se Interface: 
GigabitEthernet0/1 
————— IPSec 
policy: mapl 
Sequence number: 10 
Mode: manual 
SSS CC EE Tunnel id 
549 


Encapsulation mode: tunnel 
Path MTU: 1443 
Tunnel: 

local address: 11.0.1.10 

remote address: 11.0.0.10 
Flow: 

as defined in ACL 3101 
[Inbound ESP SA] 

SPI: 54321 (0x0000d431) 


Transform set: ESP- ENCRYPT- AES- CBC- 128 ESP- AUTH- SHA1 


No duration limit for this SA 
[Outbound ESP SA] 
SPI: 12345 (0x00003039) 


Transform set: ESP- ENCRYPT- AES- CBC- 128 ESP- AUTH- SHA1 


No duration limit for this SA 


实验 2 采用 KE 方式 建立 保护 IPA 


JR CAJ IPSec 隧道 


实验 目的 : 掌握 手动 配置 IPSec 的 方式 。 
实验 器 材 : H3C MSR36-20 两 台 、PC 一 台 。 
实验 要 求 ， 


(1) 在 Router A 和 Router B 之 间 建 立 一 条 IPSec 隧道 ,对 Host A 所 在 的 子 网 
1.1.0/24) 与 Host B 所 在 的 子 网 (10. 1. 2. 0/24) 之 间 的 数据 流 进行 安全 保护 。 


(2) 封装 形式 为 隧道 模式 。 
(3) 安全 协议 采用 ESP 协议 。 


(4) 加 密 算 法 采用 128 比特 的 AES, 认 证 算法 采用 HMAC-SHA1, 


(5) 以 IKE 协商 方式 建立 IPSec SA. 
以 IKE 协商 方式 建立 的 IPSec SA 配置 拓扑 图 如 图 8-4 所 示 。 
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RI R2 
M 11.0.0.10/24 11.0.1.10/24 frau] 


LV 





GE 0/2 GE 0/2 
192.168.1.1/24 192.168.2.1/24 


PC 1 PC 2 
192.168.1.2/24 192.168.2.2/24 


图 8-4 DL IKE 协商 方式 建立 的 IPSec SA 配置 拓扑 图 


实验 步骤 如 下 : 


Rl]interface GigabitEthernet 0/1 
R1-GigabitEthernet0/1]ip address 11.0.0.10 24 
R1-GigabitEthernet0/1l]quit 
Rl]interface GigabitEthernet 0/2 
R1-GigabitEthernet0/2]ip address 192.168.1.1 24 
R1] acl number 3101 
// 配 置 一 个 ACL, 定 义 要 保护 的 由 子 网 10.1.1.0/24 去 往 子 网 10.1.2.0/24 的 数据 流 
R1-acl- adv- 3101] rule permit ip source 192.168.1.2.0.0.255 destination 
192.168.2.2 0.0.0.255 
R1] ip route- static 192.168.2.2255.255.255.0 gigabitethernet 0/1 11.0.0.9 
// 配 置 到 达 Ro 所 在 子 网 的 静态 路 由 。11.0.0.9 为 本 例 中 直 连 的 下 一 跳 地 址 ,实际 使 用 中 请 以 具 
体 组 网 情况 为 准 
R1] ipsec transform- set tranl // 创 建 IPsec 安全 提议 tranl 
Rl- ipsec- transform- set- tranl] encapsulation- mode tunnel 
// 配 置 安全 协议 时 对 IP 报 文 的 封装 形式 为 隧道 模式 
Rl- ipsec- transform- set- tran1] protocol esp // 配 置 采用 的 安全 协议 为 ESP 
R1- ipsec- transform- set- tranl] esp encryption- algorithm aes- cbc- 128 
// 配 置 ESP 协 议 采用 的 加 密 算法 为 采用 128 比特 的 AES 
R1- ipsec- transform- set- tranl] esp authentication- algorithm shal 
// 认 证 算法 为 HMAC- SHAL 
Rl- ipsec- transform- set- tranl] quit 
Rl] ike keychain keychaini 
// 创 建 并 配置 IKE keychain, % EH keychainl 
Rl- ike- keychain- keychainl] pre- shared- key address 11. 0. 1. 10 255. 255. 255. 0 key 
simple 123456 
// 配 置 与 IP 地 址 为 11.0.1.10 的 对 端 使 用 的 预 共享 密 钥 为 明文 123456 
Rl- ike- keychain- keychainl] quit 
R1] ike profile profilel 
// 创 建 并 配置 IKE profile, PW profilel 
Rl-ike-profile-profilel] keychain keychainl 
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[R1- ike- profile- profilel] match remote identity address 11.0.1.10 255.255.255.0 
[R1- ike- profile- profilel] quit 
[R1] ipsec policy mapl 10 isakmp 

// 创 建 一 条 IE 协商 方式 的 IPsec 安全 策略 ,名 称 为 mapl, 序 列 号 为 10 
[R1- ipsec- policy- isakmp- mapl- 10] security acl 3101 

// 指 定 引 用 ACL 3101 
[R1- ipsec- policy- isakmp-map1- 10] transform- set tranl 

// 指 定 引 用 的 安全 提议 为 tranl 
[R1- ipsec- policy- isakmp-map1- 10] local- address 11.0.0.10 

// 指 定 IPsec 隧道 的 本 端 IP 地 址 为 11.0.0.10 
[R1- ipsec- policy- isakmp- mapl- 10] remote- address 11.0.1.10 

// 指 定 对 端 IP 地 址 为 11.0.1.10 
[R1- ipsec- policy- isakmp- mapl- 10] ike-profile profilel 

// 指 定 引 用 的 IKE profile  profilel 
[R1] interface gigabitethernet 0/1 
[R1-GigabitEthernet0/1] ip address 2.2.2.1 255.255.255.0 
[R1-GigabitEthernet0/1] ipsec apply policy mapl 

// 在 接口 GigabitEtherneto/1 上 应 用 安全 策略 map1 
[R1-GigabitEthernet0/1] quit 


[R2]interface GigabitEthernet 0/1 

[R2- GigabitEthernet0/1]IP address 11.0.1.10 24 

[R2- GigabitEthernet0/1]interface GigabitEthernet 0/2 

[R2- GigabitEthernet0/2] IP address 192.168.2.1 24 

[R2] acl number 3101 

[R2- acl- adv- 3101] rule permit ip source 192.168.2.2 0.0.0.255 destination 
192.168.1.2 0.0.0.255 

[R2] ip route- static 192.168.1.2 255.255.255.0 gigabitethernet 0/1 11.0.1.9 
// 配 置 到 达 RI 所 在 子 网 的 静态 路 由 。11.0.1.9 为 本 例 中 直 连 的 下 一 跳 地 址 ,实际 使 用 中 请 以 具 
体 组 网 情况 为 准 

[R2] ipsec transform- set tranl 

[R2- ipsec- transform- set- tranl] encapsulation- mode tunnel 

[R2- ipsec- transform- set- tranl] protocol esp 

[R2- ipsec- transform- set- tranl] esp encryption- algorithm aes- cbc- 128 

[R2- ipsec- transform- set- tranl] esp authentication- algorithm shal 

[R2] ike keychain keychainl 

[R2- ike- keychain- keychainl] pre- shared- key address 11. 0.0.10 255. 255. 255. 0 key 
simple 123456 

[R2- ike- keychain- keychainl] quit 

[R2] ike profile profilel 

[R2- ike- profile- profilel] keychain keychainl 

[R2- ike- profile- profilel] match remote identity address 11.0.0.10 255.255.255.0 
[R2- ike- profile- profilel] quit 

[R2] ipsec policy mapl 10 isakmp 

[R2- ipsec- policy- isakmp- mapl- 10] security acl 3101 





[R2- ipsec- policy- isakmp- mapl- 10] transform- set tranl 

[R2- ipsec- policy- isakmp- mapl- 10] local- address 11.0.1.10 
[R2- ipsec- policy- isakmp- mapl- 10] remote- address 11.0.0.10 
[R2- ipsec- policy- isakmp- mapl- 10] ike- profile profilel 
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[R2] interface gigabitethernet 0/1 

[R2- GigabitEthernet0/1] ip address 11.0.1.10 255.255.255.0 
[R2- GigabitEthernet0/1] ipsec apply policy mapl 

[R2- GigabitEthernet0/1] quit 


PC 1 的 配置 如 图 8-5 所 示 。 


接口 IPv4 地 址 IPv6 地 址 


GO UP 192:168.1 
G0/J2 ADM 


接口 管理 
o 禁用 
IPv4 配 置 : 


© DHCP 
e 静态 


IPv4 地 址 : — 19216812 
emit: 2552552550 


IPv4 网 关 : | 19216811 


IPv6 配 置 : 
© DHCPv6 
@ RS 
IPv6 地 址 : 
make: 
IPv6 网 关 : 





8-5 PC 1 的 配置 


PC 2 的 配置 如 图 8-6 所 示 。 


实验 结果 如 下 : 

[R1] display ipsec sa 
Sp Interface: 
GigabitEthernet0/1 
KEE IPSec 
policy: mapl 
Sequence number: 10 
Mode: isakmp 
EE gop pove kemo Tunnel id: 

0 


Encapsulation mode: tunnel 
Perfect Forward Secrecy: Path 
MTU: 1443 





MA 8 IPSec 配置 | 


Go ADM 


接口 管理 


oi 
ož 


IPv4 配 置 : 
© DHCP 


eŭ s 

IPv4 地 址 ; 19216822 
MEM: |2552552550 
IPv4 网 关 : | 19216821 


IPv6 配 置 : 
© DHCPv6 
eks 
IPv6 地 址 : 
MAKE: 
IPv6 网 关 : 





图 8-6 PC _2 的 配置 


Tunnel: 
local address: 11.0.0.10 
remote address: 11.0.1.10 
Flow: 
sour addr: 11.0.0.10/0.0.0.0 port: 0 protocol: IP 
dest addr: 11.0.1.10/0.0.0.0 port: 0 protocol: IP 


[Inbound ESP SAs] 
SPI: 3769702703 (0xe0b1192f) 
Transform set: ESP- ENCRYPT- AES- CBC- 128 ESP- AUTH- SHA1 
SA duration (kilobytes/sec): 3000/28800 
SA remaining duration (kilobytes/sec): 2300/797 
Max received sequence- number: 1 
Anti- replay check enable: N 
Anti- replay window size: 
UDP encapsulation used for NAT traversal: N 
Status: active 


[Outbound ESP SAs] 
SPI: 3840956402 (0xe4f057f2) 
Transform set: ESP- ENCRYPT- AES- CBC- 128 ESP- AUTH- SHA1 
SA duration (kilobytes/sec): 3000/28800 
SA remaining duration (kilobytes/sec): 2312/797 
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Max sent sequence- number: 1 
UDP encapsulation used for NAT traversal: N 
Status: active 


[R2] display ipsec sa 





—————E—— ES Interface: 
GigabitEthernet0/1 
Se sc saca MEL LS IPSec 
policy: mapl 
Sequence number: 10 
Mode: isakmp 

——Tunne1 id: 


0 
Encapsulation mode: tunnel 
Perfect Forward Secrecy: Path 
MTU: 1443 
Tunnel: 
local address: 11.0.1.10 
remote address: 11.0.0.10 
Flow: 
sour addr: 11.0.1.10/0.0.0.0 port: 0 protocol: IP 
dest addr: 11.0.0.10/0.0.0.0 port: 0 protocol: IP 


[Inbound ESP SAs] 
SPI: 3769702703 (0xe0b1192f) 
Transform set: ESP- ENCRYPT- AES- CBC- 128 ESP- AUTH- SHA1 
SA duration (kilobytes/sec): 3000/28800 
SA remaining duration (kilobytes/sec): 2300/797 
Max received sequence- number: 1 
Anti- replay check enable: N Anti- 
replay window size: 
UDP encapsulation used for NAT traversal: N 
Status: active 


[Outbound ESP SAs] 
SPI: 3840956402 (0xe4f057f2) 
Transform set: ESP- ENCRYPT- AES- CBC- 128 ESP- AUTH- SHA1 
SA duration (kilobytes/sec): 3000/28800 
SA remaining duration (kilobytes/sec): 2312/797 
Max sent sequence- number: 1 
UDP encapsulation used for NAT traversal: N 
Status: active 
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91 SSH fai T 


SSH 是 Secure Shell( 安 全 外 壳 ) 的 简称 ,是 一 种 在 不 安全 的 网 络 环境 中 ,通过 加 密 机 
制 和 认证 机 制 , 实 现 安 全 的 远程 访问 以 及 文件 传输 等 业务 的 网 络 安全 协议 。 利 用 SSH H 
议 可 以 有 效 防 止 远 程 管理 过 程 中 的 信息 泄露 问题 。 


9.1.1 SSH 的 认证 方式 


(1) password 认证 : 利用 AAA(Authentication、Authorization、Accounting, 认 证 , 授 
权 和 记 账 ) 对 客户 端 身份 进行 认证 。 客 户 端 向 服务 器 发 出 password 认证 请 求 ,将 用 户 名 
和 密码 加 密 后 发 送 给 服务 器 ;服务 器 将 认证 请 求解 密 后 得 到 用 户 名 和 密码 的 明文 ,通过 本 
地 认证 或 远程 认证 验证 用 户 名 和 密码 的 合法 性 ,并 返回 认证 成 功 或 失败 的 消息 。 

(2) publickey 认证 : 采用 数字 签名 的 方式 认证 客户 端 。 目 前 ,设备 上 可 以 利用 DSA 
和 RSA 两 种 公 钥 算法 实现 数字 签名 。 客 户 端 发 送 包 含 用 户 名 、 公 钥 和 公 钥 算法 或 者 携带 
公 钥 信息 的 数字 证 书 的 publickey 认证 请 求 给 服务 器 端 。 服 务 器 端 对 公 钥 进行 合法 性 检 
查 , 如 果 不 合法 , 则 直接 发 送 失败 消息 ;否则 ,服务 器 端 利用 数字 签名 对 客户 端 进行 认证 ， 
并 返回 认证 成 功 或 失败 的 消息 。 

(3) password-publickey 认证 : 对 于 SSH2 版 本 的 客户 端 ,要 求 同 时 进行 password 
和 publickey 两 种 方式 的 认证 , 且 只 有 两 种 认证 均 通 过 的 情况 下 , 才 认 为 客户 端 身份 认证 
通过 ; 对 于 SSH1 版 本 的 客户 端 ,只 要 通过 其 中 任意 一 种 认证 即 可 。 

(4) any 认证 : 不 指定 客户 端的 认证 方式 ,客户 端 可 采用 password 认证 或 publickey 
认证 , 且 只 要 通过 其 中 任何 一 种 认证 即 可 。 


9.1.2 SSH 的 层次 


SSH 主要 由 三 部 分 组 成 , 即 传输 层 协议 LSSH-TRANS]、 用 户 认 证 协议 [SSH- 
USERAUTH]、 连 接 协 议 [SSH-CONNECT]。 

CD 传输 层 协议 LSSH-TRANS]: 提供 了 服务 器 认证 ,保密 性 及 完整 性 。 此 外 , 它 有 
时 还 提供 压缩 功能 。SSH-TRANS 通常 运行 在 TCP/IP 连接 上 ,也 可 能 用 于 其 他 可 靠 数 
据 流 上 。SSH-TRANS 提供 了 强力 的 加 密 技 术 .密码 主机 认证 及 完整 性 保护 。 该 协议 中 的 
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认证 基于 主机 ,并 且 该 协议 不 执行 用 户 认 证 。 更 高 层 的 用 户 认证 协议 可 以 设计 为 在 此 协 
W E. 

(2) 用 户 认证 协议 LSSH-USERAUTHJ]: 用 于 向 服务 器 端 提 供 客户 端 用 户 鉴别 功 
能 。 它 运行 在 传输 层 协 议 LSSH-TRANS] 上 面 。 当 SSH-USERAUTH 开始 后 , 它 从 低层 
协议 那里 接收 会 话 标识 符 ( 从 第 一 次 密 钥 交 换 中 的 交换 哈 希 H)。 会 话 标 识 符 唯一 标识 
此 会 话 并 且 适 用 于 标记 以 证 明 私 钥 的 所 有 权 。SSH-USERAUTH 也 需要 知道 低层 协议 
是 否 提供 保密 性 保护 。 

(3) 连接 协议 LSSH-CONNECT]: 将 多 个 加 密 隧道 分 成 逻辑 通道 。 它 运行 在 用 户 认 
证 协议 上 。 它 提供 了 交互 式 登 录 话 路 、 远 程 命令 执行 、 转 发 TCP/IP 连接 和 转发 X11 
连接 。 


9.1.3 SSH 的 配置 命令 


表 9-1 所 示 是 配置 SSH 时 所 需 用 到 的 一 些 命令 
表 9-1 SSH 的 配置 命令 





























操作 命令 操作 说 明 
system-view 进入 系统 界面 
ssh server enable 开启 SSH 功能 
public-key local create rsa 生成 RSA 密 钥 对 
local-user name class manage 创建 本 地 账户 
password (simple| hash ****** 设置 密码 
service-type ssh 设置 服务 类 型 为 SSH 
user vty number 设置 远程 登录 用 户 数 
authentication-mode {scheme| none| password) 设置 认证 模式 


实验 1 路 由 器 开启 SSH 服 务 器 端 功能 


实验 目的 : 学 会 SSH 的 配置 方法 。 

实验 器 材 : H3C MSR36-20 三 台 。 

实验 要 求 : 为 三 台 路 由 器 开启 SSH Secure Shell ,安全 外 壳 ) 服 务 器 端 功 能 ,对 SSH 
HARA password 认证 方式 ,用 户 名 和 密码 为 000000。 密 码 为 明文 类 型 ,用 户 角 色 为 
network-admin。 客 户 端 登录 用 户 数 为 六 人 。 

SSH 的 配置 拓扑 图 如 图 9-1 所 示 。 

实验 步骤 如 下 : 

[R1]interface LoopBack 0 

[R1- LoopBack0]ip address 9.9.9.1 32 
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认证 基于 主机 ,并 且 该 协议 不 执行 用 户 认 证 。 更 高 层 的 用 户 认证 协议 可 以 设计 为 在 此 协 
W E. 

(2) 用 户 认证 协议 LSSH-USERAUTHJ]: 用 于 向 服务 器 端 提 供 客户 端 用 户 鉴别 功 
能 。 它 运行 在 传输 层 协 议 LSSH-TRANS] 上 面 。 当 SSH-USERAUTH 开始 后 , 它 从 低层 
协议 那里 接收 会 话 标识 符 ( 从 第 一 次 密 钥 交 换 中 的 交换 哈 希 H)。 会 话 标 识 符 唯一 标识 
此 会 话 并 且 适 用 于 标记 以 证 明 私 钥 的 所 有 权 。SSH-USERAUTH 也 需要 知道 低层 协议 
是 否 提供 保密 性 保护 。 

(3) 连接 协议 LSSH-CONNECT]: 将 多 个 加 密 隧道 分 成 逻辑 通道 。 它 运行 在 用 户 认 
证 协议 上 。 它 提供 了 交互 式 登 录 话 路 、 远 程 命令 执行 、 转 发 TCP/IP 连接 和 转发 X11 
连接 。 


9.1.3 SSH 的 配置 命令 


表 9-1 所 示 是 配置 SSH 时 所 需 用 到 的 一 些 命令 
表 9-1 SSH 的 配置 命令 





























操作 命令 操作 说 明 
system-view 进入 系统 界面 
ssh server enable 开启 SSH 功能 
public-key local create rsa 生成 RSA 密 钥 对 
local-user name class manage 创建 本 地 账户 
password (simple| hash ****** 设置 密码 
service-type ssh 设置 服务 类 型 为 SSH 
user vty number 设置 远程 登录 用 户 数 
authentication-mode {scheme| none| password) 设置 认证 模式 


实验 1 路 由 器 开启 SSH 服 务 器 端 功能 


实验 目的 : 学 会 SSH 的 配置 方法 。 

实验 器 材 : H3C MSR36-20 三 台 。 

实验 要 求 : 为 三 台 路 由 器 开启 SSH Secure Shell ,安全 外 壳 ) 服 务 器 端 功 能 ,对 SSH 
HARA password 认证 方式 ,用 户 名 和 密码 为 000000。 密 码 为 明文 类 型 ,用 户 角 色 为 
network-admin。 客 户 端 登录 用 户 数 为 六 人 。 

SSH 的 配置 拓扑 图 如 图 9-1 所 示 。 

实验 步骤 如 下 : 

[R1]interface LoopBack 0 

[R1- LoopBack0]ip address 9.9.9.1 32 
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ano mea 


L0:9.9.9.1/32 









Ser 2/0 


1.0:9.9.9.2/32 
Ser_1/0 


L0:9.9.9.3/32 
Ser 2/0 





Ser 3/0 Ser 3/0 


图 9-1 SSH 的 配置 拓扑 图 


[R1]ssh server enable 


[R1]public- key local create rsa // 生 成 RSR 密 钥 对 

[R1]local- user admin class manage // 创 建 本 地 账户 

[R1- luser-manage- admin]password simple admin // 设 置 密码 

[R1- luser-manage- admin]authorization- attribute user- role network- admin 
// 设 置 权 限 

[R1- luser-manage- admin]service- type ssh // 设 置 服务 类 型 

[R1- luser- manage- admin]quit 

[RI] line vty 0 5 // 设 置 远程 登录 用 户 数 


[R1- line- vty0- 5]authentication- mode scheme 


[R2]interface LoopBack 0 

[R2- LoopBack0] ip address 9.9.9.2 32 

[R2]ssh server enable 

[R2]public- key local create rsa // 生 成 RSA 密 钥 对 
[R2]1oca1- user admin class manage 

[R2- luser- manage- admin]password simple admin 

[R2- luser- manage- admin]authorization- attribute user- role network- admin 


// 设 置 权限 
[R2- luser- manage- admin] service- type ssh // 设 置 服务 类 型 
R2- luser-manage- admin]quit 
R2]line vty 0 5 // 设 置 远程 登录 用 户 数 


R2- line- vty0- 5]authentication- mode scheme 


[R3]interface LoopBack 0 

[R3- LoopBack0] ip address 9.9.9.3 32 

R3]ssh server enable 

R3]public- key local create rsa // 生 成 RSA 密 钥 对 

R3]local- user admin class manage 

R3- luser- manage- admin]password simple admin 

R3- luser- manage- admin]authorization- attribute user- role network- admin 
// 设 置 权限 

[R3- luser-manage- admin]service- type ssh // 设 置 服务 类 型 
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[R3- luser- manage- admin]quit 
[R3]line vty 0 5 // 设 置 远程 登录 用 户 数 
[R3- line- vty0- 5]authentication- mode scheme 


实验 结果 如 下 : 
在 RI Ef. 


[R1]display current- configuration 

+ 
version 7.1.075, Alpha 7571 

+ 
sysname R1 

Li 

system- working- mode standard 

xbar load- single 

password- recovery enable lpu- type f- series 

#vlan 1 

f interface Serial1/0 

f interface Serial2/0 

f interface Serial3/0 

f interface Serial4/0 

# interface NULLO 

# interface LoopBackO 
ip address 9.9.9.1 255.255.255.255 

f interface GigabitEthernet0/0 port link- mode route 
combo enable copper 

f interface GigabitEthernet0/1 port link- mode route 
combo enable copper 

f interface GigabitEthernet0/2 port link- mode route 
combo enable copper 

f interface GigabitEthernet5/0 port link- mode route 
combo enable copper 

f interface GigabitEthernet5/1 port link- mode route 
combo enable copper 

f interface GigabitEthernet6/0 port link-mode route 
combo enable copper 

# interface GigabitEthernet6/1 

port link- mode route combo enable copper 

# scheduler logfile size 16 

f line class aux 
user- role network- operator 

# line class console 
user- role network- admin 

# line class tty 
user- role network- operator 

# line class vty 
user- role network- operator 

# line aux 0 
user- role network- operator 


# line con 0 
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user- role network- admin 
#line vty 05 
authentication- mode scheme 
user- role network- operator 
# line vty 6 63 
user- role network- operator 
# domain system 
# domain default enable system 
# role name level-0 
description Predefined level-0 role 
* role name level-1 
description Predefined level- 1 role 
# role name level-2 
description Predefined level-2 role 
# role name level- 3 
description Predefined level-3 role 
//role name level- 4 Æ role name level- 12 W 
# role name level- 13 
description Predefined level- 13 role 
# role name level- 14 
description Predefined level- 14 role 
#user- group system 
* local- user amdin class manage 
password hash 
$ h$ 6$ npOOLUWVlvX3868X$ EdwLE88p7CeQNfzKXvDKBrb3H41xPCBfVNePr9lXwJt4 
ZCY7g21TKsQy+ iL/BNtsZByCvJNUNQZAVPFlUPRbpA- = 
service- type ssh 
authorization- attribute user- role network- admin 
authorization- attribute user- role network- operator 
* [R2] display current- configuration 
# version 7.1.075, Alpha 7571 
# sysname R2 
# system- working- mode standard xbar load- single 
password- recovery enable 
lpu-type f- series 
#vlan 1 
# interface Seriall/O 
# interface Serial2/0 
# interface Serial3/0 
# interface Serial4/0 
# interface NULLO interface LoopBack0 
ip address 9.9.9.2 255.255.255.255 
# 


# interface GigabitEthernet0/0 port link- mode route 
combo enable copper 

# interface GigabitEthernet0/1 port link- mode route 
combo enable copper 

# interface GigabitEthernet0/2 port link- mode route 
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combo enable copper 
# interface GigabitEthernet5/0 port link-mode route 
combo enable copper 
# interface GigabitEthernet5/1 port link- mode route 
combo enable copper 
# interface GigabitEthernet6/0 port link- mode route 
combo enable copper 
# interface GigabitEthernet6/1 port link- mode route 
combo enable copper 
# scheduler logfile size 16 
# line class aux 
user- role network- operator 
# line class console 
user- role network- admin 
# line class tty 
user- role network- operator 
# line class vty 
user- role network- operator 
# line aux 0 
user- role network- operator 
# line con 0 
user- role network- admin 
#line vty 05 
authentication-mode scheme 
user- role network- operator 
# line vty 6 63 
user- role network- operator 
# ip route- static 0.0.0.0 0 Seria11/0 
# ssh server enable 
# domain system 
# domain default enable system 
# role name level- 0 
description Predefined level- 0 role 
# //role name level-1 
description Predefined level-1 role 
* 
role name level- 13 
description Predefined level- 13 role 
# role name level- 14 
description Predefined level- 14 role 
#user- group system 
# local- user admin class manage 
password hash 
$h $6 $170x0cPuRzVIUVKR $d18 + wSBazEtYSOZLIIlZTJGj3DzNuOrpjWljsBBtUAtDLSDiWxk77vtMf + qmD7t/ 
KSM8nAF3QybEqJAfQsNKnQ= = 
service- type ssh 
authorization- attribute user- role network- admin 
authorization- attribute user- role network- operator 
+ 
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[R3]display current- configuration 

#version 7.1.075, Alpha 7571 

# sysname R2 

# system- working- mode standard xbar load- single 
password- recovery enable 
lpu-type f- series 

#vlan 1 

f interface Seriall/O 

f interface Serial2/0 

# interface Serial3/0 

# interface Serial4/0 

# interface NULLO 

# interface LoopBack0 
ip address 9.9.9.1 255.255.255.255 

* 


f interface GigabitEthernet0/0 port link- mode route 
combo enable copper 

f interface GigabitEthernet0/1 port link- mode route 
combo enable copper 

f interface GigabitEthernet0/2 port link- mode route 
combo enable copper 

f interface GigabitEthernet5/0 port link- mode route 
combo enable copper 

f interface GigabitEthernet5/1 port link- mode route 
combo enable copper 

f interface GigabitEthernet6/0 port link- mode route 
combo enable copper 

f interface GigabitEthernet6/1 port link- mode route 
combo enable copper 

# scheduler logfile size 16 

# line class aux 
user- role network- operator 

# line class console 
user- role network- admin 

# line class tty 
user- role network- operator 

# line class vty 
user- role network- operator 

# line aux 0 
user- role network- operator 

# line con 0 
user- role network- admin 

#line vty 05 

authentication- mode scheme 

user- role network- operator 

# line vty 6 63 


ans nawa 
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user- role network- operator 
#ssh server enable 
# domain system 
it domain default enable system 
f role name level- 0 

description Predefined level- 0 role 
# role name level-1 

description Predefined level-1 role 
* 

//role name level- 2 

description Predefined level- 2 role 
D 


role name level- 12 
description Predefined level- 12 role 
# role name level- 13 
description Predefined level- 13 role 
# role name level- 14 
description Predefined level- 14 role 
# user- group system 
# local- user admin class manage 
password hash 
$h $6 S170x0cPuRZVIUVKR $dl8 + wSBazEtYSOZLII1ZTJGj3DzNuOrpjWLjsBBtUAtDLSDiWxk77vtMf + qmD7t/ 
KSM8nAF3QybEqJAfQsNKnQ- = 
service- type ssh 
authorization- attribute user- role network- admin 
authorization- attribute user- role network- operator 
D 


92 Telnet 简 + 


Telnet 协议 是 TCP/IP Bi fs PAY 51.4 Internet 远程 登录 服务 的 标准 协议 和 主 


要 方式 。 它 为 用 户 提供 了 在 本 地 计算 机 上 完成 远程 主机 工作 的 能 力 。 在 终端 使 用 者 的 计 
算 机 上 使 用 Telnet 程序 ,用 它 连接 到 服务 器 。 终 端 使 用 者 可 以 在 Telnet 程序 中 输入 命 


令 ， 


这 些 命令 会 在 服务 器 上 运行 ,就 像 直 接 在 服务 器 的 控制 台 上 输入 一 样 ,在 本 地 就 能 控 


制服 务 器 。 要 开始 一 个 Telnet 会 话 , 必 须 输 入 用 户 名 和 密码 登录 服务 器 。Telnet 是 常用 
的 远程 控制 Web 服务 器 的 方法 。 


9.2.1 Telnet 的 用 途 


1E 3 


Telnet 是 Internet 远程 登录 服务 的 标准 协议 和 主要 方式 ,最 初 由 ARPANet 开发 , 现 
要 用 于 Internet 会 话 , 它 的 基本 功能 是 允许 用 户 登 录 进 入 远程 主机 系统 。 





Telnet 可 以 让 我 们 坐 在 自己 的 计算 机 前 通过 Internet 网 络 登录 到 另 一 台 远 程 计算 机 
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上 ,这 台 计 算 机 可 以 是 在 隔壁 的 房间 里 ,也 可 以 是 在 地 球 的 另 一 端 。 当 登录 上 远程 计算 机 
后 ,本 地 计算 机 就 等 同 于 远程 计算 机 的 一 个 终端 ,我 们 可 以 用 自己 的 计算 机 直接 操纵 远程 
计算 机 ,享受 远程 计算 机 本 地 终端 同样 的 操作 权限 。 

Telnet 的 主要 用 途 就 是 使 用 远程 计算 机 上 所 拥有 的 本 地 计算 机 没有 的 信息 资源 ,如 
果 远 程 的 主要 目的 是 在 本 地 计算 机 与 远程 计算 机 之 间 传 递 文件 ,那么 相 比 较 而 言 使 用 
FTP 会 更 加 快捷 有效。 


9.2.2 安全 隐患 


虽然 Telnet 较为 简单 .实用 ,方便 ,但 是 在 格外 注重 安全 的 现代 网 络 技术 中 ,Telnet 
并 不 被 重用 。 原 因 在 于 Telnet 是 一 个 明文 传送 协议 , 它 将 用 户 的 所 有 内 容 , 包 括 用 户 名 
和 密码 都 明文 在 互联 网 上 传送 ,具有 一 定 的 安全 隐患 ,因此 许多 服务 器 都 会 选择 禁用 
Telnet 服务 。 如 果 我 们 要 使 用 Telnet 的 远程 登录 ,使 用 前 应 在 远 端 服务 器 上 检查 并 设置 
允许 Telnet 服务 的 功能 。 


9.2.3 Telnet 的 交 瓦 过 程 


当 我 们 使 用 Telnet 登录 进入 远程 计算 机 系统 时 ,事实 上 启动 了 两 个 程序 :一 个 是 
Telnet 客户 程序 ,运行 在 本 地 主机 上 ; 另 一 个 是 Telnet 服务 器 程序 , 它 运行 在 要 登录 的 远 
程 计 算 机 上 。 本 地 主机 上 的 Telnet 客户 程序 主要 完成 以 下 功能 : 

。 建立 与 远程 服务 器 的 TCP 连接 ; 

。 从 键盘 上 接收 本 地 输入 的 字符 ; 

° 将 输入 的 字符 串 变 成 标准 格式 并 传送 给 远程 服务 器 ; 

。 从 远程 服务 器 接收 输出 的 信息 ; 

。 将 该 信息 显示 在 本 地 主机 屏幕 上 。 

远程 主机 的 “服务 ”程序 通常 被 称 为 “精灵”, 它 平时 不 声 不 响 地 守候 在 远程 主机 上 ,一 
接 到 本 地 主机 的 请 求 ,就 会 立马 活跃 起 来 ,并 完成 以 下 功能 : 

* 通知 本 地 主机 ,远程 主机 已 经 准备 好 了 ; 

。 等 修 本 地 主机 输入 命令 ; 

。 对 本 地 主机 的 命令 做 出 反应 (如 显示 目录 内 容 . 或 执行 某 个 程序 等 ); 

。 把 执行 命令 的 结果 送 回 本 地 计算 机 中 显示 ; 

。 重 新 等 候 本 地 主机 的 命令 。 

在 Internet 中 ,很 多 服务 都 采取 这 样 一 种 客户 机 /服务 器 结构 。 对 使 用 者 来 讲 ,通常 
只 要 了 解 客户 端的 程序 就 可 以 了 。 


9.2.4 Telnet 的 配置 命令 


表 9-2 所 示 是 配置 Telnet 时 所 需 用 到 的 一 些 命令 。 
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表 9-2 Telnet 的 配置 命令 


























操作 命令 操作 说 明 
system-view 进入 系统 界面 
telnet server enable 开启 Telnet 服务 
local-user name 建立 本 地 用 户 
password {simple| hash) ****** 设置 密码 
authorization-attribute level! number) 设置 命令 等 级 
service-type telnet 设置 服务 类 型 为 Telnet 
user vty number 设置 远程 登录 用 户 数 
authentication-mode (scheme| nonel password} 设置 认证 模式 





实验 2 交换 机 开启 Telnet 功能 


实验 目的 : 学 习 并 掌握 Telnet 的 配置 方法 及 如 何 使 用 。 

实验 要 求 ， 

CD 为 交换 机 开启 Telnet 功能 ,对 所 有 Telnet 用 户 采用 本 地 认证 的 方式 。 
(2) 创建 本 地 用 户 , 设 定 用 户 名 和 密码 均 为 admin 的 用 户 有 三 级 命令 权限 。 
开启 交换 机 Telnet 功能 的 配置 拓扑 图 如 图 9-2 所 示 。 


GE 0/1 GE 0/1 ke 


si PC 
图 9-2 开启 交换 机 Telnet 功能 的 配置 拓扑 图 





实验 步骤 如 下 : 


Sljint vlan 1 

S1- Vlan- interfacel]ip address 192.168.0.55 24 

S1- Vlan- interfacel]quit 

S1]telnet server en // 开 启 Telnet 
Sl]local-user admin 

S1- luser- admin]password simple admin 

Sl- luser- admin]authorization- attribute level 3 // 设 置 命令 等 级 

S1- luser- admin]service- type telnet 

S1-luser-admin]user vty 0 4 // 设 置 五 个 用 户 可 登录 
S1-ui-Vvty0- 4]authentication- mode scheme 


实验 结果 如 图 9-3 所 示 。 
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Telnet 192.168.0.55 








图 9-3 交换 机 用 Telnet 登录 并 进入 界面 


实验 3 为 路 由 器 配置 Telnet 


实验 目的 : 学 习 并 掌握 Telnet 的 配置 方法 及 如 何 使 用 。 

实验 器 材 : H3C MSR36-30 两 台 

实验 要 求 : 为 路 由 器 开启 Telnet 功能 ,对 所 有 Telnet 用 户 采 用 本 地 认证 的 方式 。 创 
建 本 地 用 户 , 设 定 用 户 名 和 密码 为 000000。 且 可 在 RI 上 登录 R2, 也 可 在 R2 上 登录 RI, 

图 9-4 所 示 为 路 由 器 Telnet 的 配置 拓扑 图 。 


的 10.10.10.1/24 10.10.10.2/24 的 
Ser 2/0 Ser 2/0 


RI R2 
图 9-4 路 由 器 Telnet 的 配置 拓扑 图 








实验 步骤 如 下 : 


Rl]interface Serial2/0 

Rl- Serial2/0]ip address 10.10.10.1 24 

Rl- Serial2/0]quit 

Rl]telnet server enable // 开 启 Telnet 功能 
R1]local- user 000000 


R1- luser- manage- 000000]password simple 000000 


Rl- luser- manage- 000000]service- type telnet // 设 置 服务 类 型 为 Telnet 
Rl- luser-manage- 000000]user vty 0 4 // 设 置 五 个 用 户 可 登录 
Rl- line- vty0- 4]authentication- mode scheme // 设 置 认证 方式 为 scheme 





R1]ip route- static 192.168.1.1 24 Serial 2/0 
// 设 置 静态 路 由 ,本 例 为 192.168.1.1 24 
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R2]interface Serial2/0 
R2- Serial2/0]ip address 10.10.10.2 24 
R2- Serial2/0]quit 


R2]telnet server en 


B 


]local- user 000000 


B 


— luser- manage- 000000]password simple 000000 


B 


— luser- manage- 000000] service- type telnet 

R2- luser- manage- 000000]user vty 0 4 

R2- line- vty0- 4]authentication- mode scheme 

R2- line- vty0- 4]quit 

R2]ip route- static 0.0.0.0 0.0.0.0 Serial 2/0 // 创 建 默认 路 由 





l ze GL un [RI 9-5 和 图 9-6 所 示 ,分 别 为 RI 和 R2 登入 的 效果 。 








图 9-5 R1 登入 的 效果 





图 9-6 R2 登入 的 效果 
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SNMP(Simple Network Management Protocol, 简 单 网 络 管理 协议 ) 是 互联 网 中 的 一 
种 网 络 管理 标准 协议 ,广泛 用 于 实现 管理 设备 对 被 管理 设备 的 访问 和 管理 。 
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9.3.1 SNMP 的 优势 


支持 网 络 设备 的 智能 化 管理 。 利 用 基于 SNMP 的 网 络 管理 平台 ,网 络 管理 员 可 以 
查询 网 络 设备 的 运行 状态 和 参数 ,设置 参数 值 ,发 现 故障 ,完成 故障 诊断 ,进行 容量 规 
划 和 制作 报告 ,支持 对 不 同 物理 特性 的 设备 进行 管理 。SNMP 只 提供 最 基本 的 功能 
集 ,使 得 管理 任务 与 被 管理 设备 的 物理 特性 和 联网 技术 相对 独立 ,从 而 实现 对 不 同 厂 
商 设备 的 管理 。 


9.3.2 SNMP 的 基本 操作 


SNMP 提供 四 种 基本 操作 。 

Get 操作 : NMS 使 用 该 操作 查询 Agent MIB 中 节点 的 值 。 

Set 操作 : NMS 使 用 该 操作 设置 Agent MIB 中 节点 的 值 。 

Trap 操作 : Agent 使 用 该 操作 向 NMS 发 送 Trap 报 文 。Agent 不 要 求 NMS 发 送 回 
应 报 文 ,NMS 也 不 会 对 Trap 报 文 进行 回应 。SNMPv1、SNMPv2c 和 SNMPv3 均 支 持 
Trap 操作 。 

Inform 操作 : Agent 使 用 该 操作 向 NMS 发 送 Inform 报 文 。Agent 要 求 NMS 发 送 
回应 报 文 ,因此 ,Inform 报 文 比 Trap 报 文 更 可 靠 。 如 果 Agent 在 一 定时 间 内 没有 收 到 
NMS 的 回应 报 文 , 则 会 启动 重 发 机 制 。 只 有 SNMPv2c 和 SNMPv3 支持 Inform 操作 。 


9.3.3 SNMP 版 本 介绍 


目前 ,设备 运行 于 非 FIPS 模式 时 ,支持 SNMPvl „SNMPv2c 和 SNMPv3 三 种 版 本 ; 
设备 运行 于 FIPS 模式 时 ,只 支持 SNMPv3 版 本 。 只 有 NMS 和 Agent 使 用 的 SNMP 版 
本 相同 ,NMS 才能 和 Agent 建立 连接 。 

SNMPv1 采用 团体 名 (Community Name) 认 证 机 制 。 团 体 名 类 似 于 密码 ,用 来 限制 
NMS 和 Agent 之 间 的 通信 。 如 果 NMS 设置 的 团体 名 和 被 管理 设备 上 设置 的 团体 名 不 
同 , 则 NMS 和 Agent 不 能 建立 SNMP 连接 ,从 而 导致 NMS 无 法 访问 Agent, Agent 发 送 
的 告警 信息 也 会 被 NMS ER. 

SNMPv2c 也 采用 团体 名 认证 机 制 。SNMPv2c 对 SNMPv1 的 功能 进行 了 扩展 : die 
供 了 更 多 的 操作 类 型 ;支持 更 多 的 数据 类 型 ;提供 了 更 丰富 的 错误 代码 ,能 够 更 细致 地 
分 错误 。 

SNMPv3 采用 USM(User-Based Security Model, 基 于 用 户 的 安全 模型 ) 认 证 机 制 。 
网 络 管理 员 可 以 设置 认证 和 加 密 功能 。 认 证 用 于 验证 报 文 发 送 方 的 合法 性 ,避免 非法 用 
户 的 访问 ;加 密 则 是 对 NMS 和 Agent 之 间 的 传输 报 文 进行 加 密 , 以 免 被 窃听 。 采 用 认证 
和 加 密 功 能 可 以 为 NMS 和 Agent 之 间 的 通信 提供 更 高 的 安全 性 。 


> 





113 


网 络 设备 配置 与 综合 实战 





实验 4 路 由 器 开启 SNVP 


实验 目的 : 掌握 SNMP 的 配置 方法 。 

实验 器 材 : H3C MSR 36-20 三 台 。 

实验 要 求 : 

(1) 网 管 服务 器 只 能 通过 SNMPv3 访问 设备 。 

(2) SNMP 组 名 和 用 户 名 都 为 1234, 认 证 算法 为 md5, 加 密 算法 为 3des, 认 证 密码 和 
加 密 密 码 都 是 明文 方式 ,密码 是 12345678 。 

SNMP 的 配置 拓扑 图 如 图 9-7 所 示 。 






Ser 2/0 Ser 1/0 





Ser 3/0 Ser 3/0 
R2 R3 


9-7 SNMP 的 配置 拓扑 图 


实验 步骤 如 下 : 


[R1]snmp- agent usm- user v3 1234 1234 simple authentication-mode md5 1234 
privacy-mode 3des 12345678 
[R2]snmp- agent usm- user v3 1234 1234 simple authentication-mode md5 1234 
privacy-mode 3des 12345678 
[R3]snmp- agent usm- user v3 1234 1234 simple authentication-mode md5 1234 
privacy-mode 3des 12345678 


实验 结果 如 下 : 


[R1]display snmp- agent usm- user 
Username: 1234 
Group name: 1234 
Engine ID: 800063A280487ADAFDFB6600000001 
Storage- type: nonVolatile 
UserStatus: active 


[R2]display snmp- agent usm- user 
Username: 1234 


Group name: 1234 
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Engine ID: 800063A280487ADAFE022000000001 
Storage- type: nonVolatile 
UserStatus: active 


[R3]display snmp- agent usm- user 
Username: 1234 
Group name: 1234 
Engine ID: 800063A280487ADAFDFFC600000001 
Storage- type: nonVolatile 
UserStatus: active 


ans nawa 
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101 综合 基础 训练 


项 目 背景 : 某 知名 外 企 进 和 我国, 在 北京 建设 了 中 国 总 部 。 为 满足 公司 经 营 、 管 理 的 
需要 ,现在 建立 公司 信息 化 网 络 。 总 部 办 公 区 设 有 市 场 部 、 财 务 部 、 人 力 资源 部 、 信 息 技术 
部 四 个 部 门 ,并 在 异地 设立 了 一 个 分 部 。 为 了 业务 的 开展 ,需要 合作 伙伴 访问 公司 内 部 服 


务 器 。 


公司 规模 在 2015 年 快速 发 展 ,业务 数据 量 和 公司 访问 增长 量 巨 大 。 为 了 更 好 地 管理 
数据 ,提供 服务 ,公司 决定 建立 自己 的 小 型 数据 中 心 ,以 达到 快速 ,可靠 交换 数据 的 目的 。 


为 适应 公司 业务 需求 ,2016 年 购 入 服务 器 并 建立 自己 的 系统 服务 平台 。 


扑 图 如 网 10-1 所 示 。 


合作 伙伴 


RT2 





公司 分 部 
图 10-1 公司 网 络 拓扑 图 


公司 网 络 拓 


根据 这 个 企业 的 建 网 需求 , 某 系统 集成 公司 进行 网 络 规划 和 部 署 。 为 了 确保 部 署 成 
3j ,前 期 要 进行 仿真 测试 。 测 试 环境 包括 三 台 路 由 器 、 三 台 以 太 网 交换 机 \ 两 台数 据 中 心 


交换 机 、 一 台 服 务 器 PdA PC. 
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1. 网 络 物 理 连 接 
首先 根据 如 表 10-1 所 示 和 图 10-1 的 网 络 拓扑 图 ,将 所 有 网 络 设备 与 主机 连接 起 来 。 
表 10-1 拓扑 连接 
源 设备 名 称 设备 接口 目标 设备 名 称 设备 接口 
SW1 1 端口 SW2 2 端口 
SW1 2 端口 SW3 2 端口 
SW1 3 端口 PC1 
SW2 1 端口 RTI 以 太 网 0 端口 
SW2 3 端口 SW3 3 端口 
SW2 23 端口 IRF-SW1 23 端口 
SW2 24 端口 IRF-SW2 24 端口 
IRF-SW1 1 端口 Server( 第 一 块 网 卡 ) 
IRF-SW2 1 端口 Server( 第 二 块 网 卡 ) 
SW3 1 端口 RTI 以 太 网 1 端口 
RTI "RE 2/0 端口 RT2 串口 2/0 端口 
RTI 串口 3/0 端口 RT3 串口 2/0 端口 
RT2 以 太 网 0 端口 PC2 
2. 网 络 设备 配置 
网 络 设备 基本 配置 如 表 10-2 所 示 。 
表 10-2 网 络 设备 基本 配置 
设备 名 称 配置 主机 名 (Sysname 名 ) 说 — H 
SW1 SW1 总 部 二 层 交 换 机 
SW2 SW2 总 部 三 层 交 换 机 
SW3 SW3 总 部 三 层 交 换 机 
IRF-SW1,IRF-SW2 IRF 总 部 数据 中 心 交换 机 
RTI RTI 总 部 路 由 器 
RT2 RT2 分 部 路 由 器 
RT3 RT3 合作 伙伴 路 由 器 
3. 虚拟 化 配置 


数据 中 心 交换 机 需要 实现 虚拟 化 。 交 换 机 是 H3C 的 5800 
拟 化 技术 为 IRF., 


系列 交换 机 ,所 支持 的 虚 


在 两 台 交 换 机 上 启用 IRF, 要 求 为 环形 堆 秋 ,IRF Domain 值 为 10。 
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1. 网 络 物 理 连 接 
首先 根据 如 表 10-1 所 示 和 图 10-1 的 网 络 拓扑 图 ,将 所 有 网 络 设备 与 主机 连接 起 来 。 
表 10-1 拓扑 连接 
源 设备 名 称 设备 接口 目标 设备 名 称 设备 接口 
SW1 1 端口 SW2 2 端口 
SW1 2 端口 SW3 2 端口 
SW1 3 端口 PC1 
SW2 1 端口 RTI 以 太 网 0 端口 
SW2 3 端口 SW3 3 端口 
SW2 23 端口 IRF-SW1 23 端口 
SW2 24 端口 IRF-SW2 24 端口 
IRF-SW1 1 端口 Server( 第 一 块 网 卡 ) 
IRF-SW2 1 端口 Server( 第 二 块 网 卡 ) 
SW3 1 端口 RTI 以 太 网 1 端口 
RTI "RE 2/0 端口 RT2 串口 2/0 端口 
RTI 串口 3/0 端口 RT3 串口 2/0 端口 
RT2 以 太 网 0 端口 PC2 
2. 网 络 设备 配置 
网 络 设备 基本 配置 如 表 10-2 所 示 。 
表 10-2 网 络 设备 基本 配置 
设备 名 称 配置 主机 名 (Sysname 名 ) 说 — H 
SW1 SW1 总 部 二 层 交 换 机 
SW2 SW2 总 部 三 层 交 换 机 
SW3 SW3 总 部 三 层 交 换 机 
IRF-SW1,IRF-SW2 IRF 总 部 数据 中 心 交换 机 
RTI RTI 总 部 路 由 器 
RT2 RT2 分 部 路 由 器 
RT3 RT3 合作 伙伴 路 由 器 
3. 虚拟 化 配置 


数据 中 心 交换 机 需要 实现 虚拟 化 。 交 换 机 是 H3C 的 5800 
拟 化 技术 为 IRF., 


系列 交换 机 ,所 支持 的 虚 


在 两 台 交 换 机 上 启用 IRF, 要 求 为 环形 堆 秋 ,IRF Domain 值 为 10。 
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4. 链 路 可 靠 性 配置 


(1) 广域网 链 路 可 靠 性 。RT1 5 RT2,RTI 5 RTS 使 用 广域网 串口 线 连接 ,使 用 
PPP 协议 。 为 了 安全 起 见 , 使 用 双向 CHAP 验证 (采用 “用 户 名 十 密码 ”的 方式 ) ,验证 口 
A> 123456, 

(2) 链 路 聚合 。 数 据 中 心 交 换 机 与 SW2 数据 中 心 交 换 机 互联 链 路 间 采 用 动态 链 路 
聚合 方式 。 


5. VLAN 配置 


为 了 减少 广播 ,需要 规划 VLAN。 具 体 要 求 如 下 。 

(1) 所 有 交换 机 之 间 均 采用 Trunk 链 路 互联 ,要 求 配置 合理 ,不 允许 不 必要 的 
VLAN 通过 。 

(2) 如 表 10-3 所 示 ,在 二 层 交 换 机 上 完成 VLAN 配置 和 端口 分 配 。 


表 10-3 在 二 层 交 换 机 上 完成 VLAN 配置 和 端口 分 配 

















VLAN 编号 VLAN 名 称 说 明 端口 分 配 

VLAN 10 Marketing 市 场 部 SWI,IRF-SWI,IRF-SW2 上 的 5 一 8 端口 
VLAN 20 Finance 财务 部 SWI,IRF-SWI,IRF-SW2 上 的 9 一 12 端口 
VLAN 30 HR 人 力 资源 部 SWI,IRF-SWI,IRF-SW2 上 的 13~16 端口 
VLAN 100 IT 信息 技术 部 SW1 IRF-SW1 IRF-SW2 上 的 17-20 端口 
VLAN 400 Server 服务 器 区 IRF-SW1.IRF-SW2 上 的 1 一 4 端口 











(3) 三 层 交 换 机 与 路 由 器 间 不 建议 采用 VLAN-Interface 接口 互联 ,直接 采用 三 层 模 
式 互 联 。 

(4) IP 地 址 规划 与 配置 北京 总 部 办 公 区 各 部 门 以 及 公司 分 部 信息 点 分 布 如 表 10-4 
所 示 。 


表 10-4 信息 点 分 布 











部 门 信息 点 部 门 信息 点 
市 场 部 100 信息 技术 部 13 
财务 部 40 公司 分 部 30 
人 力 资源 部 17 














由 于 公 网 地 址 紧张 ,所 以 只 能 在 公司 的 总 部 和 分 部 使 用 私 网 地 址 。 计 划 使 用 10. 0. 0. 0/ 
23 地 址 段 。 规 划 的 结果 如 表 10-5 所 示 。 








表 10-5 地 址 规划 
区 域 IP 地 址 段 网 x< 
市 场 部 10.0.0.0/25 10. 0. 0. 126 
财务 部 10. 0. 0. 128/26 10. 0. 0. 190 
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续 表 
区 域 IP 3i 3E Be 网 x 
人 力 资源 部 10. 0. 0. 192/27 10. 0. 0. 222 
信息 技术 部 10. 0. 0. 224/28 10. 0. 0. 238 
服务 器 区 10.0.1.96/28 10.0.1.110 
公司 分 部 10,0. 1.0/27 10. 0. 1. 30 








为 了 便于 维护 及 管理 ,计划 给 公司 内 所 有 三 层 网 络 设备 配置 LoopBack 地 址 ,要 求 使 
用 32 位 掩 码 。 所 规划 的 LoopBack 地 址 如 表 10-6 Aras. 


ZS 10-6 LoopBack 地 址 规划 

















Wo 备 IP 地 址 Wu AS IP 地 址 
RT1 的 LoopBack0 地 址 9.9.9.1 SW3 的 LoopBack0 stt Kil: 9.9.9.3 
SW2 的 LoopBack0 地 址 9.9.9.2 RT2 的 LoopBack0 地 址 9.9.9.4 





此 外 ,路 由 器 间 通 过 公 网 连接 ,其 IP 地 址 情况 如 表 10-7 所 示 。 
表 10-7 IP 地 址 情况 











设 备 IP 地 址 
RT1—RT2 202.0.1.0/30 
RT1—RT3 202. 0. 2. 0/30 


公司 内 部 设备 间 互 联 地 址 使 用 172. 16. 0. 0/24 网 段 ,并 使 用 30 位 掩 码 , 如 表 10-8 





所 示 。 
表 10-8 IP 地 址 使 用 情况 
设 备 IP 地 址 说 H 
SW2—RT1 172. 16.0. 0/30 
SW3—RT1 172. 16. 0. 4/30 








根据 以 上 说 明 ,请 在 设备 上 进行 相关 配置 。 


6. 路 由 配置 


路 由 器 之 间 的 连接 属于 公 网 部 分 ,使 用 静态 路 由 。 


部 使 用 静态 路 由 ,整体 会 达到 互 连 互通 。 
OSPF 协议 配置 的 具体 要 求 如 下 。 
(1) 总 部 网 络 配置 为 OSPF 的 骨干 区 域 。 
(2) f£ RTI. 上 配置 去 往 分 部 的 静态 路 由 ,并 引入 OSPF 中 。 
(3) 配置 OSPF Hello 报 文 的 发 送 时间 为 1s。 
(4) 配置 OSPF 进行 SPF 计算 的 时 间 间 隔 最 小 值 为 100ms。 
(5) 公司 内 部 网 络 (包括 公司 分 部 ) 的 所 有 网 络 设备 均 将 LoopBack 地 址 发 布 。 





公司 总 部 网 络 使 用 OSPF 协议 ,分 
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(6) 在 交换 机 SW1.SW2.SW3 上 配置 MSTP, 防 止 二 层 环 路 ;在 三 层 交 换 机 SW2 和 
SW3 上 配置 VRRP, 实 现 主机 的 网 关 宛 余 。 

网 络 配置 的 需求 如 下 。 

CD 在 正常 情况 下 ,部 门 内 主机 的 数据 流 经 由 三 层 交 换 机 SW2— RTI 转发 (不 允许 
经 由 SW3 转发 ); 4 SW2 的 上 行 链 路 发 生 故 障 时 ,主机 的 数据 流 切 换 到 经 SW3 一 RT1 转 
发 ;故障 恢复 后 ,主机 的 数据 流 又 能 够 切换 回去 。 

(2) 各 VRRP 组 中 高 优先 级 设置 为 120, 低 优先 级 设置 为 100。 

(3) 为 了 增强 网 络 的 可 靠 性 以 适应 数据 中 心 快速 收敛 的 要 求 ,要 求 在 相关 设备 上 实 
BLU FRA, 

(D DLDP。 要 求 数据 中 心 交换 机 与 SW2 的 互联 链 路 间 使 能 DLDP 协议 ,以 防止 由 于 
单 向 链 路 引发 的 设备 不 能 正常 收发 数据 的 情况 。 

© 链 路 聚合 。 要 求 链 路 聚合 配置 为 动态 (Dynamic) 聚 合 组 。 

@ 设备 安全 访问 设置 。 为 网 络 设备 开启 远程 登录 (Telnet) 功 能 ,并 按照 表 10-9 为 网 
络 设备 配置 相应 密码 。 并 且 只 允许 信息 技术 部 的 工作 人 员 通 过 Telnet 访问 设备 。 


表 10-9 远程 登录 (Telnet) 功 能 








设备 名 称 (主机 名 ) 远程 登录 密码 设备 名 称 (主机 名 ) 远程 登录 密码 
RTI 000000 ( HA 3c) sw2 000000 (HH 3c) 
RT2 000000 HJ 3c) SW3 000000( BA 3c) 
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提示 : 本 部 分 参考 了 全 国 职业 技能 大 赛 高 职 组 计算 机 网 络 应 用 赛 项 赛 题 C 卷 中 的 部 

项 目 背 景 : 某 集团 公司 在 国内 建立 了 总 部 ,后 来 又 在 欧洲 地 区 建立 了 分 部 。 总 部 设 
有 研发 部 ,市场 部 ,供应 部 、 售 后 部 四 个 部 门 ,统一 进行 IP 及 业务 资源 的 规划 和 分 配 。 

集团 规模 在 2016 年 快速 发 展 ,业务 数据 量 和 公司 访问 量 增长 巨大 。 为 了 更 好 地 管理 
数据 ,提供 服务 ,集团 决定 建立 自己 的 小 型 数据 中 心 及 云 计 算 服 务 平台 ,以 达到 快速 ,可 靠 
交换 数据 以 及 增强 业务 部 署 弹性 的 目的 。 

集团 总 部 及 欧洲 地 区 部 的 网 络 架 设 ( 实 际 设备 ) 网 络 拓扑 图 如 图 10-2 所 示 。 其 中 ,两 
f: S5800 交换 机 编号 为 S4、S5 ,用 于 服务 器 高 速 接 入 ;两 台 S3600V2 编号 为 S2、S3， = 
总 部 的 核心 交换 机 ;两 台 MSR2630 路 由 器 编号 为 R2. R3 ,作为 总 部 的 核心 路 由 器 ;一 
S3600V2 编号 为 S1, 作 为 接 入 交换 机 ;一 台 MSR2630 路 由 器 编号 为 RI ,作为 分 支 机 构 路 
由 器 。 

请 根据 拓扑 图 及 网 络 物理 连接 表 完 成 设备 的 连 线 ,如 果 现 场 已 经 提供 的 线 缆 不 能 满 
足 需要 ,请 现场 制作 所 需 线 缆 。 相 关 设 备 及 接口 情况 如 表 10-10 所 示 。 
120 
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RI PC 3 
Server 1 Server 2 —9 
P 分 部 (AS 200) 
总 部 (AS 100) 
PCI PC2 
图 10-2 网 络 拓扑 图 
表 10-10 相关 设备 及 接口 
源 设备 名 称 设备 接口 目标 设备 名 称 设备 接口 

si E1/0/1 PC 1 
sl E1/0/2 PC 2 
Sl E1/0/23 S2 E1/0/1 
Sl E1/0/24 S3 E1/0/1 
sz E1/0/2 S3 E1/0/2 
S2 E1/0/3 S3 E1/0/3 
S2 E1/0/4 R2 G0/0 
S3 E1/0/4 R3 G0/0 
R2 G0/1 S4 G1/0/1 
R3 G0/1 S5 G1/0/1 
S4 G1/0/2 S5 G1/0/2 
si G1/0/3 S5 G1/0/3 
S4 G1/0/4 Server 1 
S5 G1/0/4 Server 2 
RI S2/0 R2 S2/0 
RI S3/0 R3 S2/0 
RI G0/0 PC3 
R2 S3/0 R3 S3/0 
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1. 广域网 链 路 配置 


总 部 路 由 器 与 分 部 路 由 器 间 属 于 广域网 链 路 ,其 中 R1 一 R2 所 租用 线路 带宽 为 
2Mbps,R1—R3 所 租用 线路 带宽 为 1Mbps, R2~R3 线路 带宽 为 2Mbps。 
请 在 路 由 器 上 进行 相关 配置 ,以 使 串口 卡 速率 ( 波 特 率 ) 能 够 匹配 实际 线路 带宽 。 


2. PPP 部 署 


总 部 路 由 器 与 分 部 路 由 器 间 属 于 广域网 链 路 。 需 要 使 用 PPP 进行 安全 保护 。PPP 
的 具体 要 求 如 下 。 

(1) 使 用 CHAP 协议 。 

(2) 总 部 路 由 器 作为 认证 方 (不 配置 用 户 名 ) ,分 部 路 由 器 作为 被 认证 方 。 

(3) 用 户 名 和 密码 均 为 123456 。 


3. 虚拟 局 域 网 


为 了 减少 广播 ,需要 规划 并 配置 VLAN。 具 体 要 求 如 下 。 

CD 配置 合理 , 链 路 上 不 允许 不 必要 VLAN 的 数据 流通 过 。 

(2) 交换 机 与 路 由 器 间 的 互联 物理 端口 .S2 和 S3 间 的 E1/0/3 端口 .S4 和 S5 间 的 
G1/0/3 端口 直接 使 用 三 层 模式 互联 。 

(3) 规划 S4 和 S5 交换 机 的 G1/0/4— G1/0/10 端口 为 连接 服务 器 的 端口 ;S2 和 S3 
间 的 E1/0/2 端口 、.S4 和 S5 间 的 G1/0/2 端口 为 Trunk 类 型 。 

(4) 物理 服务 器 属于 VLAN 100。 

(5) 为 隔离 网 络 中 部 分 终端 用 户 间 的 二 层 互 访 ,在 交换 机 SI 上 使 用 Isolate-user 
VLAN, VLAN 40 JE Isolate-user VLAN. VLAN 61— VLAN 64 是 Secondary VLAN, 

根据 上 述 信息 ,在 交换 机 上 完成 VLAN 配置 和 端口 分 配 ,如 表 10-11 所 示 。 


表 10-11 VLAN 配置 和 端口 分 配 


























设备 VLAN 编号 VLAN 名 称 端 口 说 明 

VLAN 10 RD E1/0/1—E1/0/4 研发 部 
VLAN 20 Sales E1/0/5~E1/0/8 市 场 部 
VLAN 30 Supply E1/0/9—E1/0/12 供应 部 
VLAN 40 Service 售后 部 

Ĝi VLAN 61 E1/0/13 Secondary VLAN 
VLAN 62 E1/0/14 Secondary VLAN 
VLAN 63 E1/0/15 Secondary VLAN 
VLAN 64 E1/0/16 Secondary VLAN 
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4. IPv4 地 址 部 署 
根据 要 求 ,为 网 络 设备 及 PC 分 配 IPv4 地 址 ,如 表 10-12 所 示 。 


ZS 10-12. IPv4 地 址 的 分 配 








































































































设备 # a IPv4 地 址 

VLAN 10 192. 0. 10. 252/24 
VLAN 20 192. 0. 20. 252/24 
VLAN 30 192. 0. 30. 252/24 

S2 VLAN 40 192. 0. 40. 252/24 
E1/0/3 10.0.0.1/30 
E1/0/4 10.0.0.5/30 
LoopBack 0 9.9.9.202/32 
VLAN 10 192. 0. 10. 253/24 
VLAN 20 192. 0. 20. 253/24 
VLAN 30 192. 0. 30. 253/24 

S3 VLAN 40 192. 0. 40. 253/24 
E1/0/3 10. 0. 0. 2/30 
E1/0/4 10. 0. 0. 9/30 
LoopBack 0 9. 9. 9. 203/32 
VLAN 10 172. 0. 10. 252/24 
VLAN 20 172. 0. 20. 252/24 
VLAN 30 172. 0. 30. 252/24 

T VLAN 40 172. 0. 40. 252/24 
VLAN 100 172. 0. 100. 252/24 
G1/0/3 10. 0. 0. 33/30 
G1/0/1 10. 0. 0. 26/30 
LoopBack 0 9. 9. 9. 204/32 
VLAN 10 172. 0. 10. 253/24 
VLAN 20 172. 0. 20. 253/24 
VLAN 30 172. 0. 30. 253/24 
VLAN 40 172. 0. 40. 253/24 

2d VLAN 100 172. 0. 100. 253/24 
G1/0/3 10. 0. 0. 34/30 
G1/0/1 10. 0. 0. 30/30 
LoopBack 0 9. 9. 9. 205/32 
S2/0 10. 0. 0. 13/30 

= S3/0 10. 0. 0. 17/30 
G0/0 172. 0. 50. 254/24 
LoopBack 0 9. 9. 9. 1/32 
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续 表 
设备 # a IPv4 地 址 
G0/0 10. 0. 0. 6/30 
G0/1 10. 0. 0. 25/30 
R2 S2/0 10. 0. 0. 14/30 
S3/0 10. 0. 0. 21/30 
LoopBack 0 9.9. 9. 2/32 
G0/0 10. 0. 0. 10/30 
G0/1 10. 0. 0. 29/30 
R3 S2/0 10. 0. 0. 18/30 
S3/0 10. 0. 0. 22/30 
LoopBack 0 9.9. 9. 3/32 
PCI 自动 获取 
PC PC2 192. 0. 10. 101/24( 网 关 为 192. 0. 10. 254) 
PC3 172. 0. 50. 101/24( RJ XE Jy 172. 0. 50. 254) 
5. DHCP 中 继 


在 交换 机 S2.S3 上 配置 DHCP 中 继 , 对 VLAN 10 以 内 的 用 户 进行 中 继 ,使 得 总 部 


PCI 用 户 使 用 DHCP Relay 方式 获取 IP 地 址 。 具 体 要 求 如 下 。 


(1) DHCP 服务 器 组 编号 为 0。 
(2) DHCP 服务 器 IP 地 址 为 项 目 中 的 Serverl 上 的 Windows 虚拟 服务 器 地 址 


172. 0. 10. 200, 


6. IPv4 IGP 路 由 部 署 


因为 历史 性 原因 ,总 部 使 用 RIP, OSPF 多 协议 组 网 。S2、S3、R2、R3 规划 使 用 RIP 
协议 ;S4、S5、R2、R3 规划 使 用 OSPF 协议 。 要 求 网 络 具 有 安全 性 、 稳 定性 。 具 体 要 求 


如 下 。 
(1) R2,R3 是 边界 路 由 器 。 


(2) RIP 进程 号 为 10 ,版 本 号 为 RIP-2, 取 消 自动 聚合 。 


(3) OSPF 进程 号 为 10, 区 域 为 0。 
(4) 要 求 业务 网 段 中 不 出 现 协议 报 文 。 
(5) 要 求 所 有 路 由 协议 都 发 布 具体 网 段 。 


(6) 为 了 管理 方便 ,需要 发 布 LoopBack 地 址 ,并 尽量 在 OSPF 域 中 发 布 。 
(7) 优化 OSPF 相关 配置 ,以 尽量 加 快 OSPF 收敛 。 
(8) 不 允许 发 布 默认 路 由 ,也 不 允许 使 用 静态 路 由 。 


7. IPv4 BGP 路 由 部 署 


总 部 与 分 部 间 使 用 BGP 协议 。 具 体 要 求 如 下 : 分 部 为 AS200, 总 部 为 AS100; 总 部 
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内 R2, R3 需要 建立 IBGP 连接 ;R2 上 配置 路 由 优先 级 值 为 80; 分 部 的 所 有 路 由 必须 通过 
network 命令 发 布 , 总 部 路 由 通过 引入 方式 发 布 ;分 部 向 总 部 发 布 默认 路 由 ,最 终 要 求全 
网 路 由 互通 。 


8. 路 由 优化 部 署 


考虑 到 路 由 协议 众多 , 且 有 引入 路 由 的 行为 ,为 了 防止 本 路 由 域内 始 发 路 由 被 再 引 回 
到 本 路 由 域 ,从 而 造成 环 路 ,规划 在 路 由 引入 时 使 用 Route-Policy 进行 过 滤 。 具 体 要 求 
如 下 。 

CD 采用 给 IGP 路 由 打 标 签 的 方式 实现 。 

(2) OSPF 路 由 引入 后 标签 值 为 60,BGP 路 由 引入 后 标签 值 为 250,RIP 路 由 引入 后 
标签 值 为 120 。 

(3) 要 求 配置 简单 ,实现 合理 。 


9. 路 由 选 路 部 署 


考虑 到 从 分 部 到 总 部 有 两 条 广域网 线路 , 且 其 带宽 不 一 样 ,所 以 规划 R1 一 R2 为 主线 
路 ,R1 一 R3 为 备 线路 。 根 据 以 上 需求 ,在 路 由 器 上 进行 合理 的 路 由 协议 配置 。 具 体 要 求 
如 下 。 

(D BGP 协议 只 允许 使 用 Route-Policy 改变 MED 属性 , 且 MED 值 必须 为 100 或 
200( 如 需要 使 用 ACL, 则 其 编号 值 为 2020) 。 

(2) RIP 和 OSPF 通过 路 由 引入 时 改变 引入 路 由 的 COST 值 , 且 其 值 必须 为 5 或 10。 


10. PBR 


考虑 到 分 部 到 总 部 间 有 两 条 广域网 线路 ,为 合理 利用 带宽 ,规划 从 分 部 去 往 总 部 的 
FTP 数据 通过 RI~R2 的 线路 转发 ,从 分 部 去 往 总 部 的 Web 数据 通过 R1— R3 的 线路 转 
发 。 为 达到 上 述 目的 ,采用 PBR 实现 。 有 具体 要 求 如 下 。 

(1) Policy-based-route 编号 为 1 。 

(2) 分 部 去 往 总 部 的 FTP 数据 由 ACL3001 定义 。 

(3) 分 部 去 往 总 部 的 Web 数据 由 ACL3002 定义 。 


11. MSTP 及 VRRP 部 署 


在 总 部 交换 机 S2、S3 上 配置 MSTP, 防 止 二 层 环 路 ;要 求 所 有 数据 流 经 过 S2 转发 ， 
S2 失效 时 经 过 ss 转发 。 所 配置 的 参数 要 求 如 下 。 

(1) region-name 为 H3C。 

(2) 实例 值 为 1。 

(3) S2 作为 实例 中 的 主根 ,S3 作为 实例 中 的 从 根 。 

在 S2 和 S3 上 配置 VRRP, 实 现 主机 的 网 关 元 余 。 所 配置 的 参数 要 求 如 表 10-13 
所 示 。 
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表 10-13 S2 和 S3 的 VRRP 参数 














VLAN VRRP 备份 组 号 (VRID) VRRP 虚拟 IP 
VLAN 10 10 192. 0. 10. 254 
VLAN 20 20 192. 0. 20. 254 
VLAN 30 30 192. 0. 30. 254 
VLAN 40 40 192. 0. 40. 254 








S2 作为 所 有 主机 的 实际 网 关 ,S3 作为 所 有 主机 的 备份 网 关 , 其 中 ,各 VRRP 组 中 高 
优先 级 设置 为 150, 低 优先 级 设置 为 120。 

在 S4 和 S5 上 配置 VRRP, 实 现 主机 的 网 关 宛 余 , 所 配置 的 参数 要 求 如 表 10-14 
所 示 。 


表 10-14 S4 和 S5 的 VRRP 参数 

















VLAN VRRP 备份 组 号 (VRID) VRRP 虚拟 IP 
VLAN 10 10 172. 0. 10. 254 
VLAN 20 20 172. 0. 20. 254 
VLAN 30 30 172. 0. 30. 254 
VLAN 40 40 172. 0. 40. 254 
VLAN 100 50 172. 0. 100. 254 








S4 作为 所 有 主机 的 实际 网 关 ,S5 作为 所 有 主机 的 备份 网 关 , 其 中 ,各 VRRP 组 中 高 
优先 级 设置 为 150, 低 优先 级 设置 为 120。 


12. QoS 部 署 


因 总 部 与 分 部 间 的 广域网 带宽 有 限 , 为 了 保证 关键 的 应 用 ,需要 在 设备 上 配置 QoS. 
使 分 部 与 总 部 DNS 服务 器 (172. 0. 20. 200) 之 间 的 DNS 数据 流 能 够 被 加 速 转发 ,最 大 带 
宽 为 链 路 带宽 的 10%。 所 配置 的 参数 要 求 如 下 。 

(1) ACL 编号 为 3030( 匹 配 DNS 数据 流 ) 。 

(2) Classifier 名 称 为 DNS。 

(3) Behavior 名 称 为 DNS, 

(4) QoS 策略 名 称 为 DNS. 


13. 设备 与 网 络 管理 部 署 


根据 要 求 ,为 网 络 设备 配置 主机 名 ,如 表 10-15 所 示 。 
表 10-15 网 络 设备 的 名 称 











设备 名 称 配置 主机 名 (Sysname 名 ) 说 明 
S1 S1 总 部 接 入 交换 机 
S2 s2 总 部 核心 交换 机 1 
S3 S3 总 部 核心 交换 机 2 
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续 表 
设备 名 称 配置 主机 名 (Sysname 名 ) 说 明 
S4 S4 总 部 数据 中 心 交换 机 1 
S5 S5 总 部 数据 中 心 交换 机 2 
R1 R1 分 部 路 由 器 
R2 R2 总 部 路 由 器 1 
R3 R3 总 部 路 由 器 2 








为 所 有 三 层 设备 开启 ICMP 超时 报 文 发 送 功能 及 ICMP 目的 不 可 达 报 文 发 送 功能 。 

为 路 由 器 开启 SSH 服务 器 端 功 能 ,对 SSH 用 户 采 用 password 认证 方式 ,用 户 名 和 
密码 为 admin ,密码 为 明文 类 型 ,用户 角色 为 network-admin。 同 时 在 线 的 最 大 SSH HP 
连接 数 为 10。 

为 交换 机 开启 Telnet 功能 ,对 所 有 Telnet 用 户 采 用 本 地 认证 的 方式 。 创 建 本 地 用 
户 , 设 定 用 户 名 和 密码 为 admin 的 用 户 有 三 级 命令 权限 ,用 户 名 和 密码 为 000000 的 用 户 
有 一 级 命令 权限 。 密 码 为 明文 类 型 。 

为 路 由 器 开启 简单 网 络 管理 协议 (SNMP)。 要 求 网 关 服 务 器 (172. 0. 100. 200/24) H 
能 通过 SNMPv3 访问 设备 , 且 用 户 只 能 读 / 写 节点 snmp 下 的 对 象 。mib XE £4, SNMP 
组 名 和 用 户 名 都 为 2016 ,认证 算法 为 md5 ,加密 算 法 为 3des, 认 证 密码 和 加 密 密 码 都 是 明 
文 方式 ,密码 是 449 Trap 告警 发 生 时 ,路 由 器 会 向 网 关 服务 器 发 送 Trap RX. 

要 求 只 有 网 关 服 务 器 所 在 网 段 (172. 0. 100. 0/24) 的 主机 能 够 通过 SSH, Telnet, 
SNMP 来 管理 设备 (如 使 用 ACL, 则 其 编号 要 求 为 2010) 。 
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部 分 的 配置 信息 


1. 路 由 器 RI 的 display current-configuration 配置 信息 


[RT1]display current- configuration 
* 
version 7.1.059, Release 0304P15 
D 
sysname RT1 
#telnet server enable 
telnet server acl 2000 
#ospf 1 
import- route static 
spf- schedule- interval 1 
area 0.0.0.0 
network 9.9.9.1 0.0.0.0 
network 9.9.9.2 0.0.0.0 
network 9.9.9.3 0.0.0.0 
network 9.9.9.4 0.0.0.0 
# password- recovery enable 
#vlan1 
# controller Cellular0/0 
# interface Aux0 
# interface Serial2/0 
ppp authentication- mode chap domain system 
ppp chap password cipher $ c$ 3$ nnbPgG4wOrJo8BL3cy8cKFdLj+ JNr/PqJQ- = 
ppp chap user 123456 
ip address 202.0.1.1 255.255.255.252 
ospf timer hello 1 
f interface Serial3/0 
ppp authentication- mode chap domain system 
ppp chap password cipher $ c$ 3$ 1x0h2LtZWvwcbRYaEf7tReufvY2rJzFZkA== 
ppp chap user 123456 
ip address 202.0.2.1 255.255.255.252 
ospf timer hello 1 
# interface NULLO 
# interface LoopBack0 
ip address 9.9.9.1 255.255.255.255 
# interface GigabitEthernet0/0 port link- mode route 
f interface GigabitEthernet0/1 port link- mode route 
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#scheduler logfile size 16 
# line class aux 
user- role network- admin 
# line class tty 
user- role network- operator 
# line class vty 
user- role network- operator 
# line aux 0 
user- role network- admin 
#line vty 0 4 
authentication- mode scheme 
user- role network- operator 
#line vty 5 63 
user- role network- operator 


+ 
ip route- static 10.0.1.0 27 202.0.1.2 
+ 
acl basic 2000 
rule 0 permit source 10.0.0.0 0.0.0.15 
# domain sy 
# domain system 
authentication ppp local 
# domain default enable system 
# role name level- 0 

description Predefined level- 0 role 
# role name level- 1 

description Predefined level-1 role 
# role name level- 2 

description Predefined level-2 role 
# role name level- 3 

description Predefined level-3 role 
# role name level- 4 

description Predefined level- 4 role 
f role name level- 5 

description Predefined level-5 role 
# role name level- 6 

description Predefined level- 6 role 
#role name level-7 

description Predefined level-7 role 
# role name level- 8 

description Predefined level- 8 role 
# role name level- 9 

description Predefined level- 9 role 
# role name level- 10 

description Predefined level- 10 role 
# role name level- 11 

description Predefined level- 11 role 
# role name level- 12 

description Predefined level- 12 role 
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#role name level- 13 
description Predefined level- 13 role 
# role name level- 14 
description Predefined level-14 role 
user- group system 
* 
local- user 000000 class manage 
password hash 
$h $6 $ EpDFqLISkkgzUSOC $ CWuREuVDU1UuYOdICOQioxgAfThy9260SzIYGHXRfHvdNTj 
FDxychEaDmIOpfD8lyYzNpMB3klTI/Cs/rdK3SA-— 
service- type telnet 
authorization- attribute user- role network- operator 
# 
local- user 123456 class network 
password cipher $ c$ 3$ ODT28IqrrM5kerUWHGrdc6V6ss4bhlGnkw- = 
service- type ppp 
authorization- attribute user- role network- operator 
#Return 


2. 路 由 器 R2 的 display current-configuration 配置 信息 


[RT2]display current- configuration 

+ 

version 7.1.059, Release 0304P15 

# sysname RT2 

+ 

telnet server enable 

telnet server acl 2000 

# password- recovery enable 

#vlan1 

# controller Cellular0/0 

# interface Aux0 

# interface Serial2/0 

ppp authentication- mode chap domain system 
ppp chap password cipher $ c$ 3$ A/zdhtOkM6WYkxbGmzdyieJI9Ey10C7Cdw== 
ppp chap user 123456 

ip address 202.0.1.2 255.255.255.252 

# interface Serial3/0 

# interface NULLO 


interface LoopBack0 
ip address 9.9.9.4 255.255.255.255 
# interface GigabitEthernet0/0 port link-mode route 
+ 
interface GigabitEthernet0/1 port 
link-mode route 
# scheduler logfile size 16 
# line class aux 
user- role network- admin 
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# line class tty 

user- role network- operator 
# line class vty 

user- role network- operator 
# line aux 0 

user- role network- admin 
* 
line vty 0 4 
authentication- mode scheme 
user- role network- operator 
iline vty 5 63 

user- role network- operator 


# ip route- static 172.16.0.0 30 202.0.1.1 


f acl basic 2000 


rule 0 permit source 10.0.0.0 0.0.0.15 


# domain system 
authentication ppp local 

# domain default enable system 
# role name level- 0 


description Predefined level- 0 role 


# role name level-1 


description Predefined level-1 role 


# role name level-2 


description Predefined level-2 role 


# role name level- 3 


description Predefined level-3 role 


# role name level- 4 


description Predefined level- 4 role 


# role name level- 5 


description Predefined level- 5 role 


# role name level- 6 


description Predefined level- 6 role 


# role name level- 7 


description Predefined level- 7 role 


# role name level- 8 


description Predefined level- 8 role 


# role name level- 9 


description Predefined level- 9 role 


# role name level- 10 


description Predefined level- 10 role 


# role name level- 11 


description Predefined level- 11 role 


i role name level- 12 


description Predefined level- 12 role 


# role name level- 13 


description Predefined level- 13 role 


# role name level- 14 


description Predefined level- 14 role 


#user- group system 


131 





网 络 设备 配置 与 综合 实战 


dtlocal- user 000000 class manage 

password hash 

$ h$ 6$ 9C24eD1N1dd0dmrg$ gw5IIzXr619nQVlJBK5AKeVVExRfXCkUf IAbsODWCEnkgZvWd 
BEu1N1L+ h5W4uhCzQCZPeXX10rcUR6LoEVedw- = 

service- type telnet 

authorization- attribute user- role network- operator 

* 

local- user 123456 class network 

password cipher $ c$ 3$ z65zjU/rp7BtC55kMj 9ZJQip3EjqQkjl90-— 
service- type ppp 

authorization- attribute user- role network- operator 

* 

return 


3. 路 由 器 R3 的 display current-configuration 配置 信息 


[RT3]display current- configuration 
# version 7.1.059, Release 0304P15 
# sysname RT3 
# password- recovery enable 
#vlan 1 
# controller Cellular0/0 
# interface Aux0 
# interface Serial2/0 
ppp authentication-mode chap domain system 
ppp chap password cipher $ c$ 3$ bltUWrA2b5dzotnH62UZZULVNB9RKkgz2w= = 
ppp chap user 123456 
# interface Serial3/0 
ip address 202.0.2.2 255.255.255.252 
# interface NULLO 
# interface GigabitEthernet0/0 port link-mode route 
# interface GigabitEthernet0/1 port link-mode route 
# scheduler logfile size 16 
f line class aux 
user- role network- admin 
# line class tty 
user- role network- operator 
# line class vty 
user- role network- operator 
# line aux 0 
user- role network- admin 
# line vty 0 63 
user- role network- operator 
#domain system 
authentication ppp local 
#domain default enable system 
# role name level- 0 
description Predefined level- 0 role 
# role name level-1 
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description Predefined level-1 role 
#role name level-2 

description Predefined level-2 role 
# role name level-3 

description Predefined level- 3 role 
#role name level- 4 

description Predefined level-4 role 
# role name level-5 

description Predefined level- 5 role 
# role name level- 6 

description Predefined level- 6 role 
* role name level- 7 

description Predefined level- 7 role 
# role name level- 8 

description Predefined level-8 role 
# role name level- 9 

description Predefined level- 9 role 
# role name level- 10 

description Predefined level- 10 role 
# role name level- 11 

description Predefined level- 11 role 
# role name level- 12 

description Predefined level- 12 role 
# role name level- 13 

description Predefined level- 13 role 
# role name level- 14 

description Predefined level- 14 role 
# user- group system 
* 
local- user 000000 class manage 
password hash 


$ h$ 6$ 9C24eD1N1dd0dmrg$ gw5IIzXr6I9nQVlJBKSAKeVVFxRfXCkUfIAbsODWCEnkgZvW 


dBEulN1L-* h5W4uhCzQCZPeXXlOrcUR6LoEVedw- = 

service- type telnet 

authorization- attribute user- role network- operator 

+ 

local-user 123456 class network 

password cipher $ c$ 3$ vopxZYhny30X317qrC1oz9zkIAY+njG3aQ== 
service- type ppp 

authorization- attribute user- role network- operator 
#Return 


4. 交换 机 SW1 的 display current-configuration 配置 信息 


[SW1]display current- configuration 

* 

version 5.20, Release 2111P02 

sysname SWl 

#irf mac- address persistent timer irf auto-update enable 
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undo irf link-delay 
#domain default enable system 
#undo ip http enable 
#password- recovery enable 
#vlan 1 
#vlan 10 
description 市 场 部 
name Marketing 
#vlan 20 
description 财务 部 
name Finance 
#vlan 30 
description 人 力 资源 部 
name HR 
#vlan 100 
description 信息 技术 部 
name IT 
# domain system 
access- limit disable state active 
idle- cut disable 
self- service- url disable 
# user- group system 
group- attribute allow- guest 
# stp region- configuration 
region- name H3C 
instance 1 vlan 10 20 30 100 
active region- configuration 


stp enable 
# interface NULLO 
f interface Vlan- interfacel 
ip address dhcp- alloc client- identifier mac Vlan- interfacel 
f interface Vlan- interfacelO 
ip address 10.0.0.126 255.255.255.128 
f interface Vlan- interface20 
ip address 10.0.0.190 255.255.255.192 
# interface Vlan- interface30 
ip address 10.0.0.222 255.255.255.224 
# interface Vlan- interfacel100 
ip address 10.0.0.238 255.255.255.240 
# interface Ethernet1/0/1 
port link-mode bridge 
port link- type trunk 
undo port trunk permit vlan 1 
port trunk permit vlan 10 20 30 100 
f interface Ethernet1/0/2 
port link-mode bridge 
port link- type trunk 
undo port trunk permit vlan 1 


134 





附录 1 项 目 10 中 综合 基础 训练 部 分 的 配置 信息 


port trunk permit vlan 10 20 30 100 

4 interface Ethernet1/0/3 port link- mode bridge 

4 interface Ethernet1/0/4 port link- mode bridge 

# interface Ethernet1/0/5 port link-mode bridge port access vlan 10 

# interface Ethernet1/0/6 port link- mode bridge port access vlan 10 

# interface Ethernet1/0/7 port link- mode bridge port access vlan 10 

# interface Ethernet1/0/8 port link-mode bridge port access vlan 10 

# interface Ethernet1/0/9 port link- mode bridge port access vlan 20 

4 interface Ethernet1/0/10 port link- mode bridge port access vlan 20 
# interface Ethernet1/0/11 port link- mode bridge port access vlan 20 
# interface Ethernet1/0/12 port link-mode bridge port access vlan 20 
# interface Ethernet1/0/13 port link- mode bridge port access vlan 30 
f interface Ethernet1/0/14 port link- mode bridge port access vlan 30 
f interface Ethernet1/0/15 port link- mode bridge port access vlan 30 
f interface Ethernet1/0/16 port link- mode bridge port access vlan 30 
f interface Ethernetl/0/17 port link- mode bridge port access vlan 100 
f interface Ethernet1/0/18 port link- mode bridge port access vlan 100 
f interface Ethernet1/0/19 port link- mode bridge port access vlan 100 
f interface Ethernetl/0/20 port link- mode bridge port access vlan 100 
f interface Ethernet1/0/21 port link- mode bridge 

f interface Ethernetl/0/22 port link- mode bridge 

f interface Ethernetl/0/23 port link- mode bridge 

f interface Ethernet1/0/24 port link- mode bridge 

f interface GigabitEthernetl/0/25 port link- mode bridge 

f interface GigabitEthernetl/0/26 port link- mode bridge 

f interface GigabitEthernetl/0/27 port link- mode bridge 

f interface GigabitEthernetl/0/28 port link- mode bridge 

# load xml- configuration 

# load tr069- configuration 

f user- interface aux 0 user- interface vty 0 15 

+ 

return 


5. 交换 机 SW2 的 display current-configuration 配置 信息 


[SW2]display current- configuration 

# version 5.20, Release 2111P02 

# sysname SW2 

# irf mac- address persistent timer irf auto-update enable 
undo irf link-delay 

4 domain default enable system 

#telnet server enable 

#undo ip http enable 

# password- recovery enable 

#acl number 2000 

rule 0 permit source 10.0.0.0 0.0.0.15 

#vian 1 

#vian 10 
description 市 场 部 
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name Marketing 
#vlan 20 
description 财务 部 
name Finance 
#vlan 30 
description 人 力 资源 部 
name HR 
#vlan 100 
description 信息 技术 部 
name IT 
# domain system 
access- limit disable 
state active 
idle-cut disable 
self- service- url disable 
# user- group system 
group- attribute allow- guest 
# local- user 000000 
password cipher $ c$ 3$ FIL3rTckIlucOkD4DEKKALWT9yRXBbb38A= = 
service- type telnet 
# stp region- configuration 
region- name H3C 
instance l vlan 10 20 30 100 
active region- configuration 
4 stp instance l root primary 
stp enable 
f interface Ethernetl/0/1 
port link- mode route 
ip address 172.16.0.6 255.255.255.252 
# interface NULLO 
# interface LoopBack0 
ip address 9.9.9.3 255.255.255.255 
# interface Vlan- interfacel 
ip address dhcp- alloc client- identifier mac Vlan- interfacel 
f interface Vlan- interfacelO 
ip address 10.0.0.126 255.255.255.128 
vrrp vrid 11 virtual- ip 10.0.0.126 
f interface Vlan- interface20 
ip address 10.0.0.190 255.255.255.192 
vrrp vrid 21 virtual- ip 10.0.0.190 
# interface Vlan- interface30 
ip address 10.0.0.222 255.255.255.224 
vrrp vrid 31 virtual- ip 10.0.0.222 
# interface Vlan- interfacel00 
ip address 10.0.0.238 255.255.255.240 
vrrp vrid 101 virtual- ip 10.0.0.238 
f interface Ethernet1/0/2 
port link- mode bridge 
port link- type trunk 
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undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 100 

# interface Ethernet1/0/3 

port link-mode bridge 

port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 100 

f interface Ethernetl/0/4 port link- mode bridge 
# interface Ethernet1/0/5 port link- mode bridge 
port access vlan 10 

# interface Ethernet1/0/6 port link- mode bridge 
port access vlan 10 

# interface Ethernetl/0/7 port link- mode bridge 
port access vlan 10 

# interface Ethernet1/0/8 port link- mode bridge 
port access vlan 10 

# interface Ethernetl/0/9 port link- mode bridge 
port access vlan 20 

f interface Ethernetl/0/10 port link- mode bridge 
port access vlan 20 

f interface Ethernetl/0/11 port link- mode bridge 
port access vlan 20 

f interface Ethernetl/0/12 port link- mode bridge 
port access vlan 20 

f interface Ethernetl/0/13 port link- mode bridge 
port access vlan 30 

f interface Ethernetl/0/14 port link- mode bridge 
port access vlan 30 

f interface Ethernetl/0/15 port link- mode bridge 
port access vlan 30 

f interface Ethernetl/0/16 port link- mode bridge 
port access vlan 30 

f interface Ethernetl/0/17 port link- mode bridge 
port access vlan 100 

# interface Ethernet1/0/18 port link- mode bridge 
port access vlan 100 

# interface Ethernetl/0/19 port link- mode bridge 
port access vlan 100 

# interface Ethernet1/0/20 port link- mode bridge 
port access vlan 100 

# interface Ethernet1/0/21 port link- mode bridge 
f interface Ethernet1/0/22 port link- mode bridge 
* 

interface Ethernet1/0/23 

port link- mode bridge 

port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 100 

port link- aggregation group 1 
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# interface Ethernet1/0/24 

port link-mode bridge 

port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 100 

port link- aggregation group 1 

# interface GigabitEthernet1/0/25 port link- mode bridge 
f interface GigabitEthernetl/0/26 port link- mode bridge 
4 interface GigabitEthernet1/0/27 port link- mode bridge 
# interface GigabitEthernet1/0/28 port link- mode bridge 
# load xml- configuration 

# load tr069- configuration 

f user- interface aux 0 user- interface vty 0 4 

acl 2000 inbound 

authentication- mode scheme user- interface vty 5 15 

* 

return 


6. 交换 机 SW3 的 display current-configuration 配置 信息 


[SW3]display current- configuration 
+ 
version 5.20, Release 2111P02 
# sysname SW3 
# irf mac- address persistent timer irf auto- update enable 
undo irf link-delay 
# domain default enable system 
# telnet server enable 
#undo ip http enable 
# password- recovery enable 
#acl number 2000 
rule 0 permit source 10.0.0.0 0.0.0.15 
#vlan1 
#vlan 10 
description 市 场 部 
name Marketing 
#vlan 20 
description 财务 部 
name Finance 
#vlan 30 
description 人 力 资 源 部 
name HR 
#vlan 100 
description 信息 技术 部 
name IT 
# domain system 
access- limit disable state active 
idle- cut disable 
self- service- url disable 
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#user- group system 

group- attribute allow- guest 

# 1oca1l- user 000000 

password cipher $ c$ 3$ FIL3rTckIlucOkD4DEKKALWT 9yRXBbb38A== 
service- type telnet 

# stp region- configuration 

region- name H3C 

instance 1 vlan 10 20 30 100 

active region- configuration 

#stp instance 1 root secondary 

stp enable 

f interface Ethernet1/0/1 

port link- mode route 

ip address 172.16.0.6 255.255.255.252 

# interface NULLO 

# interface LoopBack0 

ip address 9.9.9.3 255.255.255.255 

# interface Vlan- interfacel 

ip address dhcp- alloc client- identifier mac Vlan- interfacel 
# interface Vlan- interfacelO 

ip address 10.0.0.126 255.255.255.128 

vrrp vrid 11 virtual- ip 10.0.0.126 

# interface Vlan- interface20 

ip address 10.0.0.190 255.255.255.192 

vrrp vrid 21 virtual- ip 10.0.0.190 

f interface Vlan- interface30 

ip address 10.0.0.222 255.255.255.224 

vrrp vrid 31 virtual- ip 10.0.0.222 

f interface Vlan- interfacel00 

ip address 10.0.0.238 255.255.255.240 

vrrp vrid 101 virtual- ip 10.0.0.238 

f interface Ethernetl/0/2 

port link- mode bridge 

port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 100 

# interface Ethernet1/0/3 

port link-mode bridge 

port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 100 

f interface Ethernet1/0/4 port link-mode bridge 
# interface Ethernet1/0/5 port link-mode bridge 
port access vlan 10 

4 interface Ethernet1/0/6 port link-mode bridge 
port access vlan 10 

f interface Ethernetl/0/7 port link-mode bridge 
port access vlan 10 

4 interface Ethernet1/0/8 port link-mode bridge 
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port access vlan 10 

4 interface Ethernet1/0/9 port link-mode bridge 
port access vlan 20 

# interface Ethernet1/0/10 port link- mode bridge 
port access vlan 20 

# interface Ethernetl/0/11 port link- mode bridge 
port access vlan 20 

f interface Ethernet1/0/12 port link- mode bridge 
port access vlan 20 

f interface Ethernet1/0/13 

port access vlan 30 

# interface Ethernet1/0/14 port link- mode bridge 
port access vlan 30 

f interface Ethernet1/0/15 port link- mode bridge 
port access vlan 30 

# interface Ethernetl/0/16 port link- mode bridge 
port access vlan 30 

f interface Ethernetl/0/17 port link- mode bridge 
port access vlan 100 

f interface Ethernet1/0/18 port link- mode bridge 
port access vlan 100 

f interface Ethernetl/0/19 port link- mode bridge 
port access vlan 100 

f interface Ethernetl/0/20 port link- mode bridge 
port access vlan 100 

f interface Ethernetl/0/21 

port link- mode bridge 

f interface Ethernetl/0/22 port link- mode bridge 
f interface Ethernet1/0/23 port link- mode bridge 
f interface Ethernetl/0/24 port link- mode bridge 
# interface GigabitEthernet1/0/25 


# interface GigabitEthernet1/0/26 port link-mode bridge 
f interface GigabitEthernet1/0/27 port link- mode bridge 
f interface GigabitEthernet1/0/28 port link- mode bridge 
# load xml- configuration 

# load tr069- configuration 

#user- interface aux 0 user- interface vty 0 4 

acl 2000 inbound 

authentication- mode scheme user- interface vty 5 15 

* 


return 


7. 交换 机 IRF 的 display current-configuration 配置 信息 


[irf]display current- configuration 
# version 5.20, Release 1808P12 

# sysname irf 

#irf domain 10 
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irf mac- address persistent timer 
irf auto- update enable 
undo irf link- delay 
# domain default enable system 
# password- recovery enable 
#vlan 1 
#vlan 10 
description 说 明 
name Marketing 
#vlan 20 
description 财务 部 
name Finance 
#vlan 30 
description 人 力 资源 部 
name HR 
#vlan 100 
description IS 息 技术 部 
name IT 
#vlan 400 
description 服务 器 区 
name Server 
# domain system 
access- limit disable 
state active 
idle- cut disable 
self- service- url disable 
# user- group system 
group- attribute allow- guest 
f interface Bridge- Aggregationl link- aggregation mode dynamic 
# interface NULLO 
f interface Vlan- interfacel 
ip address dhcp- alloc client- identifier mac Vlan- interfacel 
f interface Vlan- interfacelO 
ip address 10.0.0.126 255.255.255.128 
f interface Vlan- interface20 
ip address 10.0.0.190 255.255.255.192 
# interface Vlan- interface30 
ip address 10.0.0.222 255.255.255.224 
# interface Vlan- interfacel00 
ip address 10.0.0.238 255.255.255.240 
+ 
interface Vlan- interface400 
ip address 10.0.1.110 255.255.255.240 
# interface GigabitEthernet1/0/1 port link-mode bridge 
port access vlan 400 
# interface GigabitEthernet1/0/2 port link-mode bridge 
port access vlan 400 
# interface GigabitEthernet1/0/3 port link-mode bridge 
port access vlan 400 
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# interface GigabitEthernet1/0/4 port link- mode bridge 

port access vlan 400 

# interface GigabitEthernet1/0/5 port link- mode bridge 

port access vlan 10 

# interface GigabitEthernetl/0/6 port link- mode bridge 

port access vlan 10 

# interface GigabitEthernetl/0/7 port link- mode bridge 

port access vlan 10 

# interface GigabitEthernet1/0/8 port link- mode bridge 

port access vlan 10 

# interface GigabitEthernetl/0/9 port link- mode bridge 

port access vlan 20 

# interface GigabitEthernetl/0/10 port link- mode bridge 

port access vlan 20 

# interface GigabitEthernet1/0/11 

port link- mode bridge 

port access vlan 20 

+ 

interface GigabitEthernet1/0/12 port link-mode bridge 

port access vlan 20 

+ 

interface GigabitEthernet1/0/13 port link-mode bridge 

port access vlan 30 

f interface GigabitEthernet1/0/14 port link- mode bridge 

port access vlan 30 

f interface GigabitEthernetl/0/15 port link- mode bridge 

port access vlan 30 

f interface GigabitEthernetl/0/16 port link- mode bridge 

port access vlan 30 

f interface GigabitEthernetl/0/17 port link- mode bridge 

port access vlan 100 

f interface GigabitEthernet1/0/18 port link- mode bridge 

port access vlan 100 

f interface GigabitEthernet1/0/19 port link- mode bridge 

port access vlan 100 

f interface GigabitEthernet1/0/20 port link- mode bridge port access vlan 100 
# interface GigabitEthernetl/0/21 port link- mode bridge 

f interface GigabitEthernet1/0/22 port link- mode bridge 

# interface GigabitEthernetl/0/23 port link- mode bridge 

port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 100 400 

dldp enable 

port link- aggregation group 1 

# interface GigabitEthernetl/0/24 port link- mode bridge 

# interface GigabitEthernet2/0/1 port link- mode bridge port access vlan 400 
# interface GigabitEthernet2/0/2 port link- mode bridge port access vlan 400 
# interface GigabitEthernet2/0/3 port link- mode bridge port access vlan 400 
# interface GigabitEthernet2/0/4 port link- mode bridge port access vlan 400 
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# interface GigabitEthernet2/0/5 port link- mode bridge port access vlan 10 
# interface GigabitEthernet2/0/6 port link- mode bridge port access vlan 10 
4 interface GigabitEthernet2/0/7 port link- mode bridge port access vlan 10 
# interface GigabitEthernet2/0/8 port link- mode bridge port access vlan 10 
interface GigabitEthernet2/0/9 port link- mode bridge port access vlan 20 

# interface GigabitEthernet2/0/10 port link- mode bridge port access vlan 20 
# interface GigabitEthernet2/0/11 port link- mode bridge port access vlan 20 
# interface GigabitEthernet2/0/12 port link- mode bridge port access vlan 20 
# interface GigabitEthernet2/0/13 port link- mode bridge port access vlan 30 
# interface GigabitEthernet2/0/14 port link- mode bridge port access vlan 30 
f interface GigabitEthernet2/0/15 port link- mode bridge port access vlan 30 
f interface GigabitEthernet2/0/16 port link- mode bridge port access vlan 30 
* 

interface GigabitEthernet2/0/17 port link- mode bridge port access vlan 100 
f interface GigabitEthernet2/0/18 port link- mode bridge port access vlan 100 
f interface GigabitEthernet2/0/19 port link- mode bridge 

port access vlan 100 


interface GigabitEthernet2/0/20 port link- mode bridge port access vlan 100 
f interface GigabitEthernet2/0/21 port link- mode bridge 

f interface GigabitEthernet2/0/22 port link- mode bridge 

f interface GigabitEthernet2/0/23 port link- mode bridge 

# interface GigabitEthernet2/0/24 

port link- mode bridge 

port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 100 400 

dldp enable 

port link- aggregation group l 

4 interface M- GigabitEthernet0/0/0 

f interface Ten- GigabitEthernet1/0/25 port link- mode bridge 
f interface Ten- GigabitEthernetl/0/27 port link- mode bridge 
# interface Ten- GigabitEthernet1/0/28 port link- mode bridge 
f interface Ten- GigabitEthernet2/0/25 port link- mode bridge 
f interface Ten- GigabitEthernet2/0/27 port link- mode bridge 
# interface Ten- GigabitEthernet2/0/28 port link- mode bridge 
4 interface Ten- GigabitEthernet1/0/26 

4 interface Ten- GigabitEthernet2/0/26 

# load xml- configuration 

# load tr069- configuration 

#user- interface aux 0 1 user- interface vty 0 15 

4 irf- port 1/2 

port group interface Ten- GigabitEthernet1/0/26 mode enhanced 
#irf-port 2/1 

port group interface Ten- GigabitEthernet2/0/26 mode enhanced 
# return 
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1. 路 由 器 RI 的 display current-configuration 配置 信息 


# Version 7.1.059, Release 0304P15 

# sysname Rl 

# ip unreachables enable ip ttl- expires enable 
# password- recovery enable 

#vlan 1 

# traffic classifier DNS operator and 
if-match acl 3030 

# traffic behavior DNS 

queue ef bandwidth pct 10 cbs- ratio 25 
# qos policy DNS 

classifier DNS behavior DNS 

# policy- based- route 1 permit node 10 
if-match acl 3001 

apply output- interface Serial2/0 

# policy- based- route 1 permit node 20 
if-match acl 3002 

apply output- interface Serial3/0 

# controller Cellular0/0 

f interface Aux0 

f interface Serial2/0 

ppp chap password cipher $ c$ 3$ HUUS1fT7tVTtfuo3RjO3Vuex- wYOpitqYg-- 
ppp chap user 123456 

ip address 10.0.0.13 255.255.255.252 
qos apply policy DNS outbound 


# interface Serial3/0 ppp chap password cipher $ c$ 3$ bKPW5YLJq9zA01LurCTSZ Uv9Bfq2wJzK3Q- 


ppp chap user 123456 

ip address 10.0.0.17 255.255.255.252 

qos apply policy DNS outbound 

# interface NULLO 

# interface LoopBack0 

ip address 9.9.9.1 255.255.255.255 

4 interface GigabitEthernet0/0 port link- mode route 
ip address 172.0.50.254 255.255.255.0 

ip policy- based- route 1 
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# interface GigabitEthernet0/1 port link- mode route 
#bgp 200 

router- id 9.9.9.1 

peer 10.0.0.14 as- number 100 

peer 10.0.0.14 connect- interface Serial2/0 

peer 10.0.0.18 as- number 100 

peer 10.0.0.18 connect- interface Serial3/0 


# address- family ipv4 unicast 
network 9.9.9.1 255.255.255.255 
network 10.0.0.12 255.255.255.252 
network 10.0.0.16 255.255.255.252 
network 172.0.50.0 255.255.255.0 
peer 10.0.0.14 enable 
peer 10.0.0.14 default- route- advertise 
peer 10.0.0.18 enable 
peer 10.0.0.18 default- route- advertise 
# scheduler logfile size 16 
# line class aux 
user- role network- admin 
# line class tty 
user- role network- operator 
# line class vty 
user- role network- operator 
# line aux 0 
user- role network- admin 
# line vty 0 63 
authentication-mode scheme 
user- role network- admin user- 
role network- operator 
# snmp- agent 
snmp- agent local- engineid 800063A2803A7CABE4010500000001 
snmp- agent sys- info version v3 
snmp- agent target- host trap address udp- domain 172.0.100.200 params securityname 
2016 v3 privacy 
snmp- agent mib- view included 2016 snmp 
snmp- agent usm- user v3 2016 2016 cipher authentication- mode md5 
$ c$ 3$ HNj2V£AJICXoA2SCRCMwAfNvWC3zChHTUOe06gCioXyzmA- = privacy- mode 3des 
$ cŠ 3$ Oun3VdiWxVEXSfirm* hMOiy5Fj4VpSfRdSeb87ao/12Y- XqEDHXwqR} koNOVVAGImX8- acl 
2010 
snmp- agent trap enable arp 
snmp- agent trap enable radius 
# ssh server enable 
ssh user admin service- type all authentication- type password 
ssh server acl 2010 
#acl basic 2010 
rule 0 permit source 172.0.100.0 0.0.0.255 
#acl advanced 3001 
rule 10 permit tcp destination- port eq ftp 
rule 20 permit tcp destination- port eq ftp- data 
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#acl advanced 3002 
rule 10 permit tcp destination- port eq www 
#acl advanced 3030 
rule 10 permit udp source 172.0.50.0 0.0.0.255 destination 172.0.20.200 0 destination- port 
eq dns 
# domain system 
#aaa session-limit ssh 10 domain default enable system 
# role name level- 0 
description Predefined level- 0 role 
# role name level-1 
description Predefined level-1 role 
# role name level-2 
description Predefined level-2 role 
# role name level- 3 
description Predefined level-3 role 
# role name level- 4 
description Predefined level- 4 role 
# role name level- 5 
description Predefined level- 5 role 
# role name level- 6 
description Predefined level- 6 role 
# role name level- 7 
description Predefined level- 7 role 
# role name level- 8 
description Predefined level- 8 role 
# role name level- 9 
description Predefined level- 9 role 
# role name level- 10 
description Predefined level- 10 role 
# role name level- 11 
description Predefined level-11 role 
# role name level- 12 
description Predefined level- 12 role 
# role name level- 13 
description Predefined level- 13 role 
# role name level- 14 
description Predefined level- 14 role 
# user- group system 
# local- user admin class manage 
password hash 
$ h$ 6$ 11XfdA/kSLgEjW+ u$ E7fWggCGOt.-jpkWNx6Jz j 38BaTgqxu129705v2XOWTzLwg XfDN5sJ+ eCx1 
YOGRD8AatbzJDW+ mFW6u362cFP/2A- = 
service- type ssh 
authorization- attribute user- role network- admin 
authorization- attribute user- role network- operator 
#return 


2. 路 由 器 R2 的 display current-configuration 配置 信息 


# version 7.1.059, Release 0304P15 
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# sysname R2 

#ospf 10 router- id 9.9.9.2 

import- route rip 10 cost 5 tag 120 route- policy import 
import- route bgp cost 5 tag 250 route- policy import silent- interface Serial2/0 
spf- schedule- interval 1 

area 0.0.0.0 

network 9.9.9.2 0.0.0.0 

network 10.0.0.12 0.0.0.3 

network 10.0.0.20 0.0.0.3 

network 10.0.0.24 0.0.0.3 

#rip 10 

undo summary 

version 2 

network 10.0.0.4 0.0.0.3 

import- route ospf 10 cost 5 route- policy import tag 60 
import- route bgp cost 5 route- policy import tag 250 
# ip unreachables enable ip ttl- expires enable 

# password- recovery enable 

#vlan 1 

#traffic classifier DNS operator and 

if-match acl 3030 

#traffic behavior DNS 

queue ef bandwidth pct 10 cbs- ratio 25 

#qos policy DNS 

classifier DNS behavior DNS 

#controller Cellular0/0 

# interface Aux0 

# interface Serial2/0 

ppp authentication- mode chap 

ip address 10.0.0.14 255.255.255.252 

qos apply policy DNS outbound 

f interface Serial3/0 

ip address 10.0.0.21 255.255.255.252 

ospf timer hello 1 

ospf network- type p2p 

ospf bfd enable 

# interface NULLO 

# interface LoopBack0 

ip address 9.9.9.2 255.255.255.255 

# interface GigabitEthernet0/0 port link-mode route 
ip address 10.0.0.6 255.255.255.252 

# interface GigabitEthernet0/1 port link-mode route 
ip address 10.0.0.25 255.255.255.252 

ospf timer hello 1 

ospf network- type p2p 

ospf bfd enable 

#bgp 100 

router- id 9.9.9.2 

peer 9.9.9.3 as- number 100 
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peer 9.9.9.3 connect- interface LoopBack0 
peer 10.0.0.13 as- number 200 
# address- family ipv4 unicast 
preference 80 80 80 
import- route direct 
import- route rip 10 route- policy import 
import- route ospf 10 route- policy import 
peer 9.9.9.3 enable 
peer 9.9.9.3 next- hop- local 
peer 10.0.0.13 enable 
peer 10.0.0.13 route- policy export export 
# route- policy export permit node 10 
if-match ip address acl 2020 
apply cost 100 
# route- policy import deny node 10 
if-match tag 60 
# route- policy import deny node 20 
if-match tag 250 
# route- policy import deny node 30 
if-match tag 120 
# route- policy import permit node 40 
# scheduler logfile size 16 
# line class aux 
user- role network- admin 
# line class tty 
user- role network- operator 
# line class vty 
user- role network- operator 
f line aux 0 
user- role network- admin 
# line vty 0 63 
authentication-mode scheme 
user- role network- admin user- 
role network- operator 
# snmp- agent 
snmp- agent local- engineid 800063A2803A7CABE4010500000001 
snmp- agent sys- info version v3 
snmp- agent target- host trap address udp- domain 172.0.100.200 params securityname 
2016 v3 privacy 
snmp- agent mib- view included 2016 snmp 
snmp- agent usm- user v3 2016 2016 cipher authentication- mode md5 
$ c$ 3$ HNj2VfAJICXoA2SCRCMwAfNVWC3ZChHTUOe06gCi oXyzmA- =privacy- mode 3des 
$ c$ 3$ Oun3VdiWxVEXSfirm* hMOiy5F;j4VpSfRdSeb87ao/12Y-* XdEDHXwqRj koNOVVAGImX8- 
acl 
2010 
snmp- agent trap enable arp 
snmp- agent trap enable radius 
#ssh server enable 
ssh user admin service- type all authentication- type password 
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ssh server ac1 2010 
#acl basic 2010 
rule 0 permit source 172.0.100.0 0.0.0.255 
#acl basic 2020 
rule 0 permit 
#acl advanced 3030 
rule 10 permit udp source 172.0.20.200 0 destination 172.0.50.0 0.0.0.255 source- port eq dns 
# domain system 
#aaa session- limit ssh 10 domain default enable system 
# role name level- 0 
description Predefined level- 0 role 
# role name level-1 
description Predefined level-1 role 
# role name level-2 
description Predefined level-2 role 
# role name level- 3 
description Predefined level- 3 role 
* role name level- 4 
description Predefined level- 4 role 
# role name level- 5 
description Predefined level- 5 role 
# role name level- 6 
description Predefined level- 6 role 
# role name level- 7 
description Predefined level- 7 role 
# role name level- 8 
description Predefined level- 8 role 
# role name level- 9 
description Predefined level- 9 role 
# role name level- 10 
description Predefined level- 10 role 
# role name level- 11 
description Predefined level- 11 role 
# role name level- 12 
description Predefined level- 12 role 
# role name level- 13 
description Predefined level- 13 role 
# role name level- 14 
description Predefined level- 14 role 
#user- group system 
# local- user admin class manage 
password hash 
$h $6 $FAYY5S2V/Hr3Q8FbA $ /g/nolljyIGnS22qsTl6DbKg3xvkk7XNOHKwZnkeEvdPsaUqOJ + Rt2pzi 
hAVUNI2HN327440FPVmzY4iy8Hqqw= = 
service- type ssh 
authorization- attribute user- role network- admin 
authorization- attribute user- role network- operator 
itlocal- user 123456 class network 
password cipher $ c$ 3$ XVu+ TC+ + 2ejqJv9QxwQsNfQIZLuJo4PzCA== 
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service- type ppp 
authorization- attribute user- role network- operator 
# return 


3. 路 由 器 R3 Ĥ9 display current-configuration 配置 信息 


#version 7.1.059, Release 0304P15 

# sysname R3 

#ospf 10 router- id 9.9.9.3 

import- route rip 10 cost 10 tag 120 route- policy import 
import- route bgp cost 10 tag 250 route- policy import silent- interface Serial2/0 
spf- schedule- interval 1 

area 0.0.0.0 

network 9.9.9.3 0.0.0.0 

network 10.0.0.16 0.0.0.3 

network 10.0.0.20 0.0.0.3 

network 10.0.0.28 0.0.0.3 

#rip 10 

undo summary 

version 2 

network 10.0.0.8 0.0.0.3 

import- route ospf 10 cost 10 route- policy import tag 60 
import- route bgp cost 10 route- policy import tag 250 
# ip unreachables enable ip ttl- expires enable 

# password- recovery enable 

#vlan 1 

#traffic classifier DNS operator and 

if-match acl 3030 

# traffic behavior DNS 

queue ef bandwidth pct 10 cbs- ratio 25 

# qos policy DNS 

classifier DNS behavior DNS 

# controller Cellular0/0 

# interface Aux0 

# interface Serial2/0 

ppp authentication-mode chap 

ip address 10.0.0.18 255.255.255.252 

gos apply policy DNS outbound 

# interface Serial3/0 

ip address 10.0.0.22 255.255.255.252 

ospf timer hello 1 

ospf network- type p2p 

ospf bfd enable 

# interface NULLO 

# interface LoopBack0 

ip address 9.9.9.3 255.255.255.255 

# interface GigabitEthernet0/0 port link- mode route 
ip address 10.0.0.10 255.255.255.252 

# interface GigabitEthernet0/1 port link- mode route 
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ip address 10.0.0.29 255.255.255.252 
ospf timer hello 1 
ospf network- type p2p 
ospf bfd enable 
#bgp 100 
router- id 9.9.9.3 
peer 9.9.9.2 as- number 100 
peer 9.9.9.2 connect- interface LoopBack0 
peer 10.0.0.17 as- number 200 
# address- family ipv4 unicast 
import- route direct 
import- route rip 10 route- policy import 
import- route ospf 10 route- policy import 
peer 9.9.9.2 enable 
peer 9.9.9.2 next- hop- local 
peer 10.0.0.17 enable 
peer 10.0.0.17 route- policy export export 
# route- policy export permit node 10 
if-match ip address acl 2020 
apply cost 200 
# route- policy import deny node 10 
if-match tag 60 
# route- policy import deny node 20 
if- match tag 250 
# route- policy import deny node 30 
if-match tag 120 
# route- policy import permit node 40 
# scheduler logfile size 16 
# line class aux 
user- role network- admin 
# line class tty 
user- role network- operator 
# line class vty 
user- role network- operator 
+ 
line aux 0 
user- role network- admin 
# line vty 0 63 
authentication-mode scheme user- role network- admin user- role network- operator 
# snmp- agent 
snmp- agent local- engineid 800063A2803A7CABE4010500000001 
snmp- agent sys- info version v3 
snmp- agent target- host trap address udp- domain 172.0.100.200 params securityname 
2016 v3 privacy 
snmp- agent mib- view included 2016 snmp 
snmp- agent usm- user v3 2016 2016 cipher authentication- mode md5 
$ c$ 3$ HNj2VfAJICXoA2SCRCMwAfNvVWC3zChHTUOe06gCi oXyzmA- = privacy- mode 3des 
$ c$ 3$ Oun3VdiWxVEXSfirm* hMOi y5Fj 4VpSfRdSeb87ao/1ZY* XgEDHXwgRj koNOVVAGImX8- acl. 
2010 
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snmp- agent trap enable arp 
snmp- agent trap enable radius 
#ssh server enable 
ssh user admin service- type all authentication- type password 
ssh server acl 2010 
#acl basic 2010 
rule 0 permit source 172.0.100.0 0.0.0.255 
#acl basic 2020 
rule 0 permit 
# acl advanced 3030 
rule 10 permit udp source 172.0.20.200 0 destination 172.0.50.0 0.0.0.255 source- port eq dns 
# domain system 
#aaa session- limit ssh 10 domain default enable system 
# role name level- 0 
description Predefined level- 0 role 
# role name level-1 
description Predefined level-1 role 
# role name level-2 
description Predefined level-2 role 
# role name level- 3 
description Predefined level- 3 role 
# role name level- 4 
description Predefined level- 4 role 
# role name level- 5 
description Predefined level- 5 role 
# role name level- 6 
description Predefined level- 6 role 
# role name level- 7 
description Predefined level- 7 role 
# role name level- 8 
description Predefined level- 8 role 
# role name level- 9 
description Predefined level- 9 role 
# role name level- 10 
description Predefined level- 10 role 
# role name level- 11 
description Predefined level- 11 role 
# role name level- 12 
description Predefined level- 12 role 
# role name level- 13 
description Predefined level- 13 role 
# role name level- 14 
description Predefined level- 14 role 
# user- group system 
local- user admin class manage 
password hash 
$h $6 SkyLqOxkG9LpXJ81x  $7XdQfHjEyOvBLpyOGwMNOMHtF7 +  1Wf + qik8AbYcFPsiKb3 
BZh2kKGyX2G4kOLtRTqvUePXuVk+ Xt3Tmx4tDRZg== 


service- type ssh 
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authorization- attribute user- role network- admin 
authorization- attribute user- role network- operator 
$1local-user 123456 class network 

password cipher $ c$ 3$ hJAXEhFUrnr47kFj 7bhDM8QbqMEhsqbARQ= = 
service- type ppp 

authorization- attribute user- role network- operator 


# return 


4. 交换 机 SI 的 display current-configuration 配置 信息 


f version 5.20, Release 2108P01 
# sysname S1 
# irf mac- address persistent timer irf auto-update enable 
undo irf link- delay 
# domain default enable system 
f telnet server enable 
#undo ip http enable 
# password- recovery enable 
#vlan 1 
#vlan 10 
description 研发 部 
name RD 
vlan 20 
description 市 场 部 
name Sales 
#vlan 30 
description 供应 部 
name Supply 
#vlan 40 
description 售后 部 
name Service 
isolate-user-vlan enable 
#vlan 61 
description Secondary VLAN 
#vlan 62 
description Secondary VLAN 
#vlan 63 
description Secondary VLAN 
#vlan 64 
description Secondary VLAN 
# domain system 
access- limit disable 
state active 

idle- cut disable 

self- service- url disable 
#user- group system 
group- attribute allow- guest 
# local- user 000000 
password cipher $ c$ 3$ VuB/beP6uink61DXUrMRBZsEf£06t SLkOkA== 
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authorization- attribute level 1 

service- type telnet local- user admin 

password cipher $ c$ 3$ 9pmym20ewAVy j gu2JMSuDJY30Cihv4QR 
authorization- attribute level 3 

service- type telnet 

# stp region- configuration 

region- name H3C 

instance 1 vlan 10 20 30 40 61 to 64 

active region- configuration 

# stp enable 

# interface NULLO 

# interface Vlan- interfacel 

ip address dhcp- alloc client- identifier mac Vlan- interfacel 
# interface Ethernet1/0/1 port link- mode bridge 
port access vlan 10 

# interface Ethernet1/0/2 port link- mode bridge 
port access vlan 10 

# interface Ethernetl/0/3 port link- mode bridge 
port access vlan 10 

f interface Ethernet1/0/4 port link- mode bridge 
port access vlan 10 

f interface Ethernetl/0/5 port link- mode bridge 
port access vlan 20 

f interface Ethernet1/0/6 port link- mode bridge 
port access vlan 20 

f interface Ethernetl/0/7 port link- mode bridge 
port access vlan 20 

f interface Ethernet1/0/8 port link-mode bridge 
port access vlan 20 

f interface Ethernet1/0/9 

port link- mode bridge 

port access vlan 30 

# interface Ethernet1/0/10 port link- mode bridge 
port access vlan 30 

# interface Ethernetl/0/11 port link- mode bridge 
port access vlan 30 

# interface Ethernetl/0/12 port link- mode bridge port access vlan 30 
f interface Ethernet1/0/13 port link- mode bridge 
port isolate- user- vlan host 

port link- type hybrid 

undo port hybrid vlan 1 

port hybrid vlan 40 61 untagged 

port hybrid pvid vlan 61 

# interface Ethernet1/0/14 port link- mode bridge 
port isolate- user- vlan host 

port link- type hybrid 

undo port hybrid vlan 1 

port hybrid vlan 40 62 untagged 

port hybrid pvid vlan 62 
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#interface Ethernet1/0/15 port link- mode bridge 
port isolate- user- vlan host 

port link- type hybrid 

undo port hybrid vlan 1 

port hybrid vlan 40 63 untagged 

port hybrid pvid vlan 63 

# interface Ethernet1/0/16 port link- mode bridge 
port isolate- user- vlan host 

port link- type hybrid 

undo port hybrid vlan 1 

port hybrid vlan 40 64 untagged 

port hybrid pvid vlan 64 

f interface Ethernetl/0/17 port link- mode bridge 
f interface Ethernet1/0/18 port link- mode bridge 
f interface Ethernet1/0/19 port link- mode bridge 
f interface Ethernetl/0/20 port link- mode bridge 
f interface Ethernet1/0/21 port link- mode bridge 
f interface Ethernet1/0/22 port link- mode bridge 
f interface Ethernetl/0/23 port link- mode bridge 
port isolate- user- vlan 40 promiscuous 

port link- type hybrid 

undo port hybrid vlan 1 

port hybrid vlan 10 20 30 40 tagged 

port hybrid vlan 61 to 64 untagged 

port hybrid pvid vlan 40 

f interface Ethernet1/0/24 port link- mode bridge 
port isolate- user- vlan 40 promiscuous 

port link- type hybrid 

undo port hybrid vlan 1 

port hybrid vlan 10 20 30 40 tagged 

port hybrid vlan 61 to 64 untagged 

port hybrid pvid vlan 40 

f interface GigabitEthernet1/0/25 port link- mode bridge 
f interface GigabitEthernetl/0/26 port link- mode bridge 
f interface GigabitEthernet1/0/27 port link- mode bridge 
f interface GigabitEthernet1/0/28 port link- mode bridge 
fisolate- user- vlan 40 secondary 61 to 64 

# load xml- configuration 

# load tr069- configuration 

# user- interface aux 0 user- interface vty 0 15 
#return 


5. 交换 机 S2 BJ display current-configuration 配置 信息 


# Version 5.20, Release 2108P01 

# sysname S2 

#dhcp relay server- group 0 ip 172.0.10.200 

#irf mac- address persistent timer irf auto-update enable 
undo irf link- delay 
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#domain default enable system 
#telnet server enable 
#ip ttl-expires enable ip unreachables enable 
#undo ip http enable 
# password- recovery enable 
# acl number 2010 
rule 0 permit source 172.0.100.0 0.0.0.255 
#vlan 1 
* 
vlan 10 
description 研发 部 
name RD 
#vlan 20 
description 市 场 部 
name Sales 
#vlan 30 
description 供应 部 
name Supply 
#vlan 40 
description 售后 部 
name Service 
#vlan 61 to 64 
# domain system 
access- limit disable 
state active 
idle-cut disable 
self- service- url disable 
# user- group system 
group- attribute allow- guest 
# local- user 000000 
password cipher $ c$ 3$ 3KA5a67WH31va89j 2BQ09FHhXa9gHR3KHw- = 
authorization- attribute level 1 
service- type telnet local- user admin 
password cipher $ c$ 3$ QvesEFV2XGclhz/azpK9sxjsPlSTBmgCi 
authorization- attribute level 3 
service- type telnet 
# stp region- configuration 
region- name H3C 
instance 1 vlan 10 20 30 40 61 to 64 
active region- configuration 
#stp instance 1 root primary 
stp enable 
# interface Ethernet1/0/3 
port link- mode route 
ip address 10.0.0.1 255.255.255.252 
f interface Ethernetl/0/4 
port link-mode route 
ip address 10.0.0.5 255.255.255.252 
# interface NULLO 
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#interface LoopBack0 
ip address 9.9.9.202 255.255.255.255 


#interface vlan- interfacel 


ip address dhcp- alloc client- identifier mac vlan- interfacel 


# interface vlan- interfacelO 

ip address 192.0.10.252 255.255.255.0 

undo rip output 

vrrp vrid 10 virtual- ip 192.0.10.254 

vrrp vrid 10 priority 150 

dhcp select relay 

dhcp relay server- select 0 

f interface vlan- interface20 

ip address 192.0.20.252 255.255.255.0 

undo rip output 

vrrp vrid 20 virtual- ip 192.0.20.254 

vrrp vrid 20 priority 150 

# interface vlan- interface30 

ip address 192.0.30.252 255.255.255.0 

undo rip output 

vrrp vrid 30 virtual- ip 192.0.30.254 

vrrp vrid 30 priority 150 

# interface vlan- interface40 

ip address 192.0.40.252 255.255.255.0 

undo rip output 

vrrp vrid 40 virtual- ip 192.0.40.254 

vrrp vrid 40 priority 150 

f interface Ethernet1/0/1 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 

port trunk pvid vlan 40 

f interface Ethernetl/0/2 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 

port trunk pvid vlan 40 

# interface Ethernet1/0/5 port link- mode bridge 
f interface Ethernetl/0/6 port link-mode bridge 
# interface Ethernetl/0/7 port link- mode bridge 
f interface Ethernet1/0/8 port link- mode bridge 
# interface Ethernet1/0/9 port link- mode bridge 
# interface Ethernetl/0/10 port link- mode bridge 
# interface Ethernetl/0/11 port link- mode bridge 
# interface Ethernetl/0/12 port link- mode bridge 
# interface Ethernetl/0/13 

port link-mode bridge 

f interface Ethernet1/0/14 port link- mode bridge 
# interface Ethernetl/0/15 port link- mode bridge 
# interface Ethernetl/0/16 port link- mode bridge 
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# interface Ethernet1/0/17 port link- mode bridge 

# interface Ethernet1/0/18 port link- mode bridge 

# interface Ethernet1/0/19 port link- mode bridge 

# interface Ethernet1/0/20 port link- mode bridge 

# interface Ethernet1/0/21 port link- mode bridge 

# interface Ethernet1/0/22 port link- mode bridge 

# interface Ethernet1/0/23 port link- mode bridge 

# interface Ethernet1/0/24 port link- mode bridge 

# interface GigabitEthernet1/0/25 port link- mode bridge 
# interface GigabitEthernet1/0/26 port link- mode bridge 
f interface GigabitEthernetl/0/27 port link- mode bridge 
f interface GigabitEthernetl/0/28 port link- mode bridge 
#rip 10 

undo summary 

version 2 

network 10.0.0.0 

network 9.0.0.0 

network 192.0.10.0 

network 192.0.20.0 

network 192.0.30.0 

network 192.0.40.0 

# dhcp enable 

load xml- configuration 

# load tr069- configuration 

f user- interface aux 0 user- interface vty 0 15 

acl 2010 inbound 

authentication- mode scheme 

f return 


6. 交换 机 S3 的 display current-configuration 配置 信息 


# Version 5.20, Release 2108P01 

# sysname S3 

#dhcp relay server-group 0 ip 172.0.10.200 

# irf mac- address persistent timer irf auto-update enable 
undo irf link-delay 

# domain default enable system 

#telnet server enable 

# ip ttl-expires enable ip unreachables enable 
#undo ip http enable 

3 password- recovery enable 

#acl number 2010 

rule 0 permit source 172.0.100.0 0.0.0.255 
#vlan 1 

#vlan 10 

description 研发 部 

name RD 


#vlan 20 
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description 市 场 部 
name Sales 
#vlan 30 
description 供应 部 
name Supply 
#vlan 40 
description 售后 部 
name Service 
#vlan 61 to 64 
# domain system 
access- limit disable 
state active 
idle-cut disable 
self- service-url disable 
# user- group system 
group- attribute allow- guest 
# local- user 000000 
password cipher $ c$ 3$ j2r3j8wfvFykwYrlWhGFkXfJIIa2gDTnGg- = 
authorization- attribute level 1 
service- type telnet local- user admin 
password cipher $ c$ 3$ 40ds06jOnbz fBDKb1QVLoXdHgSWXsLiz 
authorization- attribute level 3 
service- type telnet 
# stp region- configuration 
region- name H3C 
instance 1 vlan 10 20 30 40 61 to 64 
active region- configuration 
# stp instance 1 root secondary 
stp enable 
f interface Ethernet1/0/3 
port link- mode route 
ip address 10.0.0.2 255.255.255.252 
f interface Ethernetl/0/4 
port link- mode route 
ip address 10.0.0.9 255.255.255.252 
# interface NULLO 
# interface LoopBack0 
ip address 9.9.9.203 255.255.255.255 
# interface Vlan- interfacel 
ip address dhcp- alloc client- identifier mac Vlan- interfacel 
# interface Vlan- interfacelO 
ip address 192.0.10.253 255.255.255.0 
undo rip output 
vrrp vrid 10 virtual- ip 192.0.10.254 
vrrp vrid 10 priority 120 
dhcp select relay 
dhcp relay server- select 0 
# interface Vlan- interface20 
ip address 192.0.20.253 255.255.255.0 
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undo rip output 

vrrp vrid 20 virtual- ip 192.0.20.254 

vrrp vrid 20 priority 120 

# interface Vlan- interface30 

ip address 192.0.30.253 255.255.255.0 

undo rip output 

vrrp vrid 30 virtual- ip 192.0.30.254 

vrrp vrid 30 priority 120 

# interface Vlan- interface40 

ip address 192.0.40.253 255.255.255.0 

undo rip output 

vrrp vrid 40 virtual- ip 192.0.40.254 

vrrp vrid 40 priority 120 

# interface Ethernet1/0/1 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 

port trunk pvid vlan 40 

# interface Ethernetl/0/2 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 

port trunk pvid vlan 40 

f interface Ethernetl/0/5 port link- mode bridge 
f interface Ethernetl/0/6 port link- mode bridge 
f interface Ethernetl/0/7 port link- mode bridge 
f interface Ethernet1/0/8 port link- mode bridge 
f interface Ethernetl/0/9 port link- mode bridge 
f interface Ethernetl/0/10 port link- mode bridge 
f interface Ethernetl/0/11 port link- mode bridge 
f interface Ethernetl/0/12 port link- mode bridge 
f interface Ethernet1/0/13 port link- mode bridge 
# interface Ethernetl/0/14 port link- mode bridge 
f interface Ethernet1/0/15 port link- mode bridge 
f interface Ethernet1/0/16 port link- mode bridge 
f interface Ethernetl/0/17 port link- mode bridge 
# interface Ethernet1/0/18 port link- mode bridge 
f interface Ethernet1/0/19 port link- mode bridge 
# interface Ethernet1/0/20 port link- mode bridge 
f interface Ethernet1/0/21 port link- mode bridge 
# interface Ethernetl/0/22 port link- mode bridge 
# interface Ethernetl/0/23 port link- mode bridge 
# interface Ethernet1/0/24 port link- mode bridge 
# interface GigabitEthernetl/0/25 

port link-mode bridge 

# interface GigabitEthernet1/0/26 port link-mode bridge 
# interface GigabitEthernetl/0/27 port link- mode bridge 
# interface GigabitEthernet1/0/28 port link- mode bridge 
#rip 10 
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undo rip output 

vrrp vrid 20 virtual- ip 192.0.20.254 

vrrp vrid 20 priority 120 

# interface Vlan- interface30 

ip address 192.0.30.253 255.255.255.0 

undo rip output 

vrrp vrid 30 virtual- ip 192.0.30.254 

vrrp vrid 30 priority 120 

# interface Vlan- interface40 

ip address 192.0.40.253 255.255.255.0 

undo rip output 

vrrp vrid 40 virtual- ip 192.0.40.254 

vrrp vrid 40 priority 120 

# interface Ethernet1/0/1 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 

port trunk pvid vlan 40 

# interface Ethernetl/0/2 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 

port trunk pvid vlan 40 

f interface Ethernetl/0/5 port link- mode bridge 
f interface Ethernetl/0/6 port link- mode bridge 
f interface Ethernetl/0/7 port link- mode bridge 
f interface Ethernet1/0/8 port link- mode bridge 
f interface Ethernetl/0/9 port link- mode bridge 
f interface Ethernetl/0/10 port link- mode bridge 
f interface Ethernetl/0/11 port link- mode bridge 
f interface Ethernetl/0/12 port link- mode bridge 
f interface Ethernet1/0/13 port link- mode bridge 
# interface Ethernetl/0/14 port link- mode bridge 
f interface Ethernet1/0/15 port link- mode bridge 
f interface Ethernet1/0/16 port link- mode bridge 
f interface Ethernetl/0/17 port link- mode bridge 
# interface Ethernet1/0/18 port link- mode bridge 
f interface Ethernet1/0/19 port link- mode bridge 
# interface Ethernet1/0/20 port link- mode bridge 
f interface Ethernet1/0/21 port link- mode bridge 
# interface Ethernetl/0/22 port link- mode bridge 
# interface Ethernetl/0/23 port link- mode bridge 
# interface Ethernet1/0/24 port link- mode bridge 
# interface GigabitEthernetl/0/25 

port link-mode bridge 

# interface GigabitEthernet1/0/26 port link-mode bridge 
# interface GigabitEthernetl/0/27 port link- mode bridge 
# interface GigabitEthernet1/0/28 port link- mode bridge 
#rip 10 
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undo summary 
version 2 
network 10.0.0.0 


network 9.0.0.0 

network 192.0.10.0 
network 192.0.20.0 
network 192.0.30.0 
network 192.0.40.0 


# dhcp enable 

# load xml- configuration 

# load tr069- configuration 

# user- interface aux 0 user- interface vty 0 15 
acl 2010 inbound 

authentication- mode scheme 

# return 


7. 交换 机 SA 的 display current-configuration 配置 信息 


* version 5.20, Release 1808P12 
# sysname S4 
# irf mac- address persistent timer irf auto-update enable 
undo irf link- delay 
# domain default enable system 
#telnet server enable 
# ip ttl-expires enable ip unreachables enable 
# password- recovery enable 
#acl number 2010 
rule 0 permit source 172.0.100.0 0.0.0.255 
#vlan 1 
#vlan 10 
description 研发 部 
name RD 
#vlan 20 
description 市 场 部 
name Sales 
#vlan 30 
description 供应 部 
name Supply 
#vlan 40 
description 售后 部 
name Service 
#vlan 100 
# domain system 
access- limit disable 
state active 
idle- cut disable 
self- service- url disable 
#user- group system 
group- attribute allow- guest 
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dtlocal- user 000000 

password cipher $ c$ 3$ 7kjfmiVsOOmOWWS3RSXXdxptlt92GVEGUg== 
authorization- attribute level 1 
service- type telnet local- user admin 
password cipher $ c$ 3$ R2k1J6YNKeSY j 9EZxOaL8TH4P9aKDsrc 
authorization- attribute level 3 
service- type telnet 

# interface NULLO 

# interface LoopBack0 

ip address 9.9.9.204 255.255.255.255 

# interface Vlan- interfacel 

ip address dhcp- alloc client- identifier mac Vlan- interfacel 
# interface Vlan- interfacelO 

ip address 172.0.10.252 255.255.255.0 
vrrp vrid 10 virtual- ip 172.0.10.254 
vrrp vrid 10 priority 150 

# interface Vlan- interface20 

ip address 172.0.20.252 255.255.255.0 
vrrp vrid 20 virtual- ip 172.0.20.254 
vrrp vrid 20 priority 150 

# interface Vlan- interface30 

ip address 172.0.30.252 255.255.255.0 
vrrp vrid 30 virtual- ip 172.0.30.254 
vrrp vrid 30 priority 150 

f interface Vlan- interface40 

ip address 172.0.40.252 255.255.255.0 
vrrp vrid 40 virtual- ip 172.0.40.254 
vrrp vrid 40 priority 150 

f interface Vlan- interfacel00 

ip address 172.0.100.252 255.255.255.0 
vrrp vrid 50 virtual- ip 172.0.100.254 
vrrp vrid 50 priority 150 

# interface GigabitEthernet1/0/1 

port link-mode route 

ip address 10.0.0.26 255.255.255.252 
ospf timer hello 1 

ospf network- type p2p 

ospf bfd enable 

# interface GigabitEthernet1/0/3 

port link-mode route 

ip address 10.0.0.33 255.255.255.252 
ospf timer hello 1 

ospf network- type p2p 

ospf bfd enable 

# interface GigabitEthernetl/0/2 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 
port trunk pvid vlan 100 
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#interface GigabitEthernetl/0/4 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

# interface GigabitEthernet1/0/5 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

# interface GigabitEthernetl/0/6 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

f interface GigabitEthernetl/0/7 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

f interface GigabitEthernet1/0/8 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

f interface GigabitEthernetl/0/9 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

f interface GigabitEthernet1/0/10 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

f interface GigabitEthernet1/0/11 port link- mode bridge 
# interface GigabitEthernetl/0/12 port link- mode bridge 
f interface GigabitEthernet1/0/13 port link- mode bridge 
# interface GigabitEthernetl/0/14 port link- mode bridge 
f interface GigabitEthernet1/0/15 port link- mode bridge 
# interface GigabitEthernetl/0/16 port link- mode bridge 
# interface GigabitEthernetl/0/17 port link- mode bridge 
# interface GigabitEthernet1/0/18 port link- mode bridge 
# interface GigabitEthernetl/0/19 port link- mode bridge 
# interface GigabitEthernetl/0/20 port link- mode bridge 
f interface GigabitEthernet1/0/21 port link- mode bridge 
f interface GigabitEthernet1/0/22 port link- mode bridge 
# interface GigabitEthernetl/0/23 port link- mode bridge 
# interface GigabitEthernetl/0/24 port link- mode bridge 
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# interface Ten- GigabitEthernet1/0/25 port link- mode bridge 
# interface Ten- GigabitEthernet1/0/26 port link- mode bridge 
# interface Ten- GigabitEthernet1/0/27 port link- mode bridge 
# interface Ten- GigabitEthernet1/0/28 port link- mode bridge 
#ospf 10 router- id 9.9.9.204 

silent- interface Vlan- interfacel0 

silent- interface Vlan- interface20 

silent- interface Vlan- interface30 

silent- interface Vlan- interface40 

silent- interface Vlan- interfacel00 

spf- schedule- interval 1 

area 0.0.0.0 

network 9.9.9.204 0.0.0.0 

network 10.0.0.32 0.0.0.3 

network 10.0.0.24 0.0.0.3 

network 172.0.0.0 0.0.0.255 

network 172.0.10.0 0.0.0.255 

network 172.0.20.0 0.0.0.255 

network 172.0.30.0 0.0.0.255 

network 172.0.40.0 0.0.0.255 

network 172.0.100.0 0.0.0.255 

# ssh client source interface Vlan- interfacel00 

ssh client authentication server 9.9.9.1 assign publickey 9.9.9.1 
# telnet client source interface Vlan- interfacel00 

# 1oad xml- configuration 

# load tr069- configuration 

f user- interface aux 0 user- interface vty 0 15 

acl 2010 inbound 

authentication- mode scheme 

f return 


8. 交换 机 SS 的 display current-configuration 配置 信息 


# version 5.20, Release 1808P12 
# sysname S5 
# irf mac- address persistent timer irf auto-update enable 
undo irf link-delay 
# domain default enable system 
#telnet server enable 
# ip ttl- expires enable 
ip unreachables enable 
#password- recovery enable 
#acl number 2010 
rule 0 permit source 172.0.100.0 0.0.0.255 
#vlan 1 
#vlan 10 
description 研发 部 
name RD 
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#vlan 20 
description 市 场 部 
name Sales 
#vlan 30 
description 供应 部 
name Supply 
#vlan 40 
description 售后 部 
name Service 
#vlan 100 
# domain system 

access- limit disable 

state active 

idle-cut disable 

self- service- url disable 
# user- group system 

group- attribute allow- guest 
# local- user 000000 
password cipher $ c$ 3$ ZAVEPLOVYpbl4 3ohBS664CwO8QK; cVwNrw- — 
authorization- attribute level 1 
service- type telnet local- user admin 
password cipher $ c$ 3$ yvBMpIg7vUVmCbxAoNWUbi 4vpkCDVGjA 
authorization- attribute level 3 
service- type telnet 
# interface NULLO 
# interface LoopBack0 
ip address 9.9.9.205 255.255.255.255 
f interface Vlan- interfacel 

ip address dhcp- alloc client- identifier mac Vlan- interfacel 
f interface Vlan- interfacel0 
ip address 172.0.10.253 255.255.255.0 
vrrp vrid 10 virtual- ip 172.0.10.254 
vrrp vrid 10 priority 120 
# interface Vlan- interface20 
ip address 172.0.20.253 255.255.255.0 
vrrp vrid 20 virtual- ip 172.0.20.254 
vrrp vrid 20 priority 120 
# interface Vlan- interface30 
ip address 172.0.30.253 255.255.255.0 
vrrp vrid 30 virtual- ip 172.0.30.254 
vrrp vrid 30 priority 120 
# interface Vlan- interface40 
ip address 172.0.40.253 255.255.255.0 
vrrp vrid 40 virtual- ip 172.0.40.254 
vrrp vrid 40 priority 120 
# interface Vlan- interfacel00 
ip address 172.0.100.253 255.255.255.0 
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vrrp vrid 50 virtual- ip 172.0.100.254 

vrrp vrid 50 priority 120 

# interface GigabitEthernet1/0/1 

port link-mode route 

ip address 10.0.0.30 255.255.255.252 

ospf timer hello 1 

ospf network- type p2p 

ospf bfd enable 

# interface GigabitEthernetl/0/3 

port link- mode route 

ip address 10.0.0.34 255.255.255.252 

ospf timer hello 1 

ospf network- type p2p 

ospf bfd enable 

f interface GigabitEthernetl/0/2 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

f interface GigabitEthernetl/0/4 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

f interface GigabitEthernetl/0/5 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

f interface GigabitEthernet1/0/6 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

f interface GigabitEthernetl/0/7 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

f interface GigabitEthernet1/0/8 port link- mode bridge 
port link-type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

f interface GigabitEthernet1/0/9 port link- mode bridge 
port link- type trunk 

undo port trunk permit vlan 1 
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port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

# interface GigabitEthernet1/0/10 port link- mode bridge 
port link-type trunk 

undo port trunk permit vlan 1 

port trunk permit vlan 10 20 30 40 100 

port trunk pvid vlan 100 

# interface GigabitEthernetl/0/11 port link- mode bridge 

f interface GigabitEthernetl/0/12 port link- mode bridge 

# interface GigabitEthernetl/0/13 port link- mode bridge 

# interface GigabitEthernetl/0/14 port link- mode bridge 

# interface GigabitEthernetl/0/15 port link- mode bridge 

f interface GigabitEthernetl/0/16 port link- mode bridge 

f interface GigabitEthernetl/0/17 port link- mode bridge 

f interface GigabitEthernetl/0/18 port link- mode bridge 

f interface GigabitEthernet1/0/19 port link- mode bridge 

# interface GigabitEthernetl/0/20 

port link- mode bridge 

f interface GigabitEthernetl/0/21 port link- mode bridge 

f interface GigabitEthernetl/0/22 port link- mode bridge 

f interface GigabitEthernetl/0/23 port link- mode bridge 

f interface GigabitEthernetl/0/24 port link- mode bridge 

f interface Ten- GigabitEthernetl/0/25 port link- mode bridge 
f interface Ten- GigabitEthernetl/0/26 port link- mode bridge 
f interface Ten- GigabitEthernetl/0/27 port link- mode bridge 
f interface Ten- GigabitEthernetl/0/28 port link- mode bridge 


#ospf 10 router- id 9.9.9.205 
silent- interface Vlan- interfacel0 
silent- interface Vlan- interface20 
silent- interface Vlan- interface30 
silent- interface Vlan- interface40 
silent- interface Vlan- interfacel00 
spf- schedule- interval 1 

area 0.0.0.0 

network 10.0.0.32 0.0.0.3 

network 10.0.0.28 0.0.0.3 

network 9.9.9.205 0.0.0.0 

network 172.0.0.0 0.0.0.255 
network 172.0.10.0 0.0.0.255 
network 172.0.20.0 0.0.0.255 
network 172.0.30.0 0.0.0.255 
network 172.0.40.0 0.0.0.255 
network 172.0.100.0 0.0.0.255 

# load xml- configuration 

# load tr069- configuration 


#user- interface aux 0 user- interface vty 0 15 
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acl 2010 inbound 
authentication- mode scheme 


# return 
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acl 2010 inbound 
authentication- mode scheme 


# return 
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